V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
timeromantic
V2EX  ›  程序员

数据库被黑客勒索 BT 币,一番骚操作最终恢复!

  •  
  •   timeromantic · 2019-06-25 15:58:34 +08:00 · 7501 次点击
    这是一个创建于 1962 天前的主题,其中的信息可能已经有所发展或是发生改变。

    其实并不是什么骚操作,常规操作吧,这次被黑客删除数据库总结如下:

    1.数据库 root 弱口令密码,root:123@tcp(132.232.126.162:3306)/mine?charset=utf8 123 这样的密码超级容易被人进行字典暴力破解

    2.数据库端口开放 3306,一般来说,公司内容不允许远程开放 3306 的,由于个人博客就没有注意,导致 3306 暴露,目前已经使用 docker 把数据库端口改为 6514 了。

    所以,建议大家开启 binlog,和 crontab 每日备份,修改弱口令,修改 3306 默认端口

    详细操作记录: https://www.printf520.com/single.html?id=53

    第 1 条附言  ·  2019-06-26 09:58:56 +08:00
    昨天博客的访问量有八百多人,腾讯云 1M 的小水管带宽还能支持住,GOlang 后端的性能还是不错的。
    <img src="https://i.loli.net/2019/06/26/5d12d0ea8ee1853913.png" alt="微信图片_20190626095647.png" title="微信图片_20190626095647.png" />
    第 2 条附言  ·  2019-06-26 09:59:31 +08:00

    微信图片_20190626095647.png

    44 条回复    2019-06-26 17:36:27 +08:00
    sugars
        1
    sugars  
       2019-06-25 16:06:11 +08:00
    你这都不用字典了,手输都能破解
    lvzhiqiang
        2
    lvzhiqiang  
       2019-06-25 16:13:01 +08:00
    你这 123 和 密码为空有区别么?
    ys0290
        3
    ys0290  
       2019-06-25 16:16:29 +08:00 via iPhone   ❤️ 1
    还不如 root:root 呢
    uio
        4
    uio  
       2019-06-25 16:18:06 +08:00
    你可以把 db 跑在 127.0.0.1 上,
    timeromantic
        5
    timeromantic  
    OP
       2019-06-25 16:27:28 +08:00
    @uio 是可以跑在 127.0.0.1 上面,不过为了开发时候方便远程访问就开放了
    timeromantic
        6
    timeromantic  
    OP
       2019-06-25 16:28:11 +08:00
    @sugars 大兄弟,说得对,还好找回数据了,不然就后悔惨了
    timeromantic
        7
    timeromantic  
    OP
       2019-06-25 16:28:21 +08:00
    @lvzhiqiang 汗颜!~
    uio
        8
    uio  
       2019-06-25 16:44:15 +08:00   ❤️ 1
    @timeromantic 用 ssh 做个代理
    rootww21
        9
    rootww21  
       2019-06-25 16:46:19 +08:00
    没有骚操作啊
    timeromantic
        10
    timeromantic  
    OP
       2019-06-25 16:47:00 +08:00
    @rootww21 对,一开始就说了常规操作
    tfbrown
        11
    tfbrown  
       2019-06-25 16:48:17 +08:00
    楼主你这博客是真的慢啊
    miaomiao0323
        12
    miaomiao0323  
       2019-06-25 16:50:27 +08:00
    你的博客用啥框架做的,挺好看的
    dangbiao1991
        13
    dangbiao1991  
       2019-06-25 16:50:52 +08:00
    你这数据库还有人勒索,是搞笑的么?
    timeromantic
        14
    timeromantic  
    OP
       2019-06-25 16:51:38 +08:00
    @tfbrown 腾讯云 1M 带宽的小水管,我看现在博客活跃用户有几百人,带宽不行
    timeromantic
        15
    timeromantic  
    OP
       2019-06-25 16:52:06 +08:00
    @dangbiao1991 黑客是遍地扫描,数据重不重要都不管
    timeromantic
        16
    timeromantic  
    OP
       2019-06-25 16:52:56 +08:00
    @miaomiao0323 比较简介冷淡,还以为没有人喜欢这个 style
    https://www.printf520.com/about.html
    cstj0505
        17
    cstj0505  
       2019-06-25 16:56:15 +08:00
    弱口令+开放外网+默认端口,这个确实容易被破。

    我之前阿里云 pg 的弱口令,没暴露外网,都被黑了
    natforum
        18
    natforum  
       2019-06-25 16:58:13 +08:00
    非必要还是文本存储好,不要用什么数据库
    laoyur
        19
    laoyur  
       2019-06-25 16:59:25 +08:00   ❤️ 2
    黑客说:哦好的,132.232.126.162:6514,以后重点照顾下
    Valid
        20
    Valid  
       2019-06-25 17:00:08 +08:00
    哦好的,以后 binlog 也一起加密
    timeromantic
        21
    timeromantic  
    OP
       2019-06-25 17:00:57 +08:00
    @laoyur 哈哈。。。6514 也是乱说的
    clino
        22
    clino  
       2019-06-25 17:09:23 +08:00
    "目前已经使用 docker 把数据库端口改为 6514 了"
    你就不能加上此端口能访问的白名单吗? 这样不就没法被外面访问到了.
    MaxTan
        23
    MaxTan  
       2019-06-25 17:16:15 +08:00
    所以恢复数据的骚操作就是给黑客打钱么。。。
    timeromantic
        24
    timeromantic  
    OP
       2019-06-25 17:48:48 +08:00
    @MaxTan 2333333
    Varobjs
        25
    Varobjs  
       2019-06-25 17:54:51 +08:00 via Android
    我的也被黑了,不过我的骚操作上重做系统,数据没啥东西不要了
    timeromantic
        26
    timeromantic  
    OP
       2019-06-25 18:00:01 +08:00
    @Varobjs 不至于重做系统吧?
    98jiang
        27
    98jiang  
       2019-06-25 18:03:26 +08:00
    请问一下左下角那个是怎么做的
    timeromantic
        28
    timeromantic  
    OP
       2019-06-25 18:12:25 +08:00
    @98jiang 网上有开源的
    vx2018
        29
    vx2018  
       2019-06-25 18:22:17 +08:00
    假评论数....
    timeromantic
        30
    timeromantic  
    OP
       2019-06-25 18:26:38 +08:00
    @vx2018 没有假评论数啊?
    bruce2000
        31
    bruce2000  
       2019-06-26 00:11:54 +08:00
    对左下角那个图片感兴趣,点击还有反应,请教下这个是啥技术
    mzdblsw8
        32
    mzdblsw8  
       2019-06-26 04:41:03 +08:00 via iPhone
    博客不错。开源吗?
    opengps
        33
    opengps  
       2019-06-26 09:05:10 +08:00
    这里的这种场景,linux 的策略就不如 windows 的独占文件。前东家生产环境的数据库服务器被加密勒索,然后数据库成功躲过,因为使用中的数据库文件不能被其他程序操作,数据导出到其他机器,在把这个机器重做系统即可
    waruqi
        34
    waruqi  
       2019-06-26 09:26:52 +08:00 via Android
    blog 我还是乖乖架在 github pages 好了,省心省力
    timeromantic
        35
    timeromantic  
    OP
       2019-06-26 09:36:09 +08:00
    @waruqi 自己做可定制,想怎么改就怎么改,自由度大
    timeromantic
        36
    timeromantic  
    OP
       2019-06-26 09:36:58 +08:00
    @opengps 这样确实省心
    timeromantic
        37
    timeromantic  
    OP
       2019-06-26 09:37:58 +08:00
    @mzdblsw8 暂时没有开源
    timeromantic
        38
    timeromantic  
    OP
       2019-06-26 09:38:27 +08:00
    @bruce2000 就是 3D 加人物模型
    webshe11
        39
    webshe11  
       2019-06-26 10:47:41 +08:00
    对待“宝贵的博客数据”得拿出点安全态度,“开发时候方便远程访问”,但是生产环境的 3306 就不应该暴露,改成什么都没用
    我一般都是用 docker-compose 把 web 和 db 搞到一个项目里面,这样就可以创建一个虚拟的 network,只暴露 web 端口就可以在很大程度上降低攻击面
    opengps
        40
    opengps  
       2019-06-26 13:47:02 +08:00
    800 多人不一定算多。
    承载能力看峰值,不看总量,我也是低配 1 核 2G1M 机器,一天 1000 无压力,因为峰值只有几个人
    no1xsyzy
        41
    no1xsyzy  
       2019-06-26 14:28:27 +08:00
    改端口号就是骗自己
    nmap 就全出来了
    Karpov
        42
    Karpov  
       2019-06-26 15:57:54 +08:00
    限制登录 IP
    zephyru
        43
    zephyru  
       2019-06-26 17:09:16 +08:00   ❤️ 1
    @bruce2000
    @98jiang
    统一回复一下..左下角是 live2d 这里博主用的是自带的模型...
    有精力其实可以自己搞模型..比如从一些手游里拆包..很有趣的
    zhuweiyou
        44
    zhuweiyou  
       2019-06-26 17:36:27 +08:00
    改端口号有什么用吗...另外 800 人随便什么语言都可以吧,非要吹 GO?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   997 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:47 · PVG 04:47 · LAX 12:47 · JFK 15:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.