V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
unt
V2EX  ›  程序员

关键时刻 mysql 被黑了,想问下黑客攻击的时机究竟有没有什么说法

  •  
  •   unt · 2024-03-03 16:30:33 +08:00 via iPhone · 3958 次点击
    这是一个创建于 370 天前的主题,其中的信息可能已经有所发展或是发生改变。
    默认端口,公网全 ip 开放(我知道……)

    三个月了相安无事,昨天一操作就立马被黑。

    是纯粹的巧合还是流量会被监测,还是说会选择日期,比如某些会议、展会开始的时候攻击频率就会加大。
    30 条回复    2024-03-07 23:41:38 +08:00
    lcy630409
        1
    lcy630409  
       2024-03-03 16:34:27 +08:00
    脚本触发?
    Hurriance
        2
    Hurriance  
       2024-03-03 16:34:28 +08:00
    公网就是这样的,有人放脚本出来扫端口,跟你说的那些关系都不大
    我之前自己有台 ECS 上跑中间件,也被黑过,不过好在我只是拿来玩玩的
    cdlnls
        3
    cdlnls  
       2024-03-03 16:52:25 +08:00   ❤️ 1
    纯粹看运气吧,每天都有无数的人/机构在扫描,目的都各不相同,有的被黑了就是在当肉鸡,有的在挖矿,有的被勒索,有的被黑了不暴露在后台偷数据,有的时候甚至能同时被几波人黑进去,有的黑了你后还会帮你补漏洞。。
    unt
        4
    unt  
    OP
       2024-03-03 17:22:46 +08:00
    @cdlnls #3 怎么这么巧呢
    unt
        5
    unt  
    OP
       2024-03-03 17:23:26 +08:00
    @lcy630409 #1 意思是之前就已经在我们这儿装好了病毒脚本,就等我们操作?
    leaflxh
        6
    leaflxh  
       2024-03-03 17:29:20 +08:00
    弱密码吗
    laminux29
        7
    laminux29  
       2024-03-03 17:57:17 +08:00   ❤️ 7
    哥们,你数据库,端口暴露到公网,被黑是太正常的事情。

    一些经验:

    1.能暴露到公网,只能是 VPN 端口,而且必须是证书登录 + 白名单访问模式,也就是只能针对你常用 IP 开白名单,其他 IP 一律 DROP 。

    2.Linux 必须装 fail2ban ,Windows 必须装 wall2ban ,参数保持默认即可,这玩意有时候能救命。

    3.数据库这种端口,只能在内网开放。如果需要访问数据库的机器的肉身,与数据库不在一起,那么应该通过 VPN 组建虚拟局域网。

    4.数据库一定要做备份,备份服务器对数据库使用 pull 模式,从数据库进行主动拉取,就算有内鬼黑了数据库,至少还有备份。
    hefish
        8
    hefish  
       2024-03-03 18:05:42 +08:00
    基本上就是运气。
    三个月相安无事,基本上算长的。
    扫描到算数。没扫描到就是命大。
    所以一般都是保持尽量小的权限。
    dode
        9
    dode  
       2024-03-03 18:23:28 +08:00
    mysql 三个月更新了吗
    Jirajine
        10
    Jirajine  
       2024-03-03 18:27:43 +08:00   ❤️ 1
    可能与黑你的方式有关。比如已经把恶意指令写到了你的 bashrs 里,自然要你登陆上去才会触发。
    unclemcz
        11
    unclemcz  
       2024-03-03 18:49:53 +08:00 via Android
    开 ip 白名单,不要嫌麻烦。
    YUyu101
        12
    YUyu101  
       2024-03-03 19:24:19 +08:00
    关键是怎么黑的呢,下次注意,不会是什么 0day 漏洞吧。
    zhangshine
        13
    zhangshine  
       2024-03-03 19:38:32 +08:00
    确实可能和 #10 有关。破解了你的数据库但是用户没有破解,只能等你触发。
    YaakovZiv
        14
    YaakovZiv  
       2024-03-03 19:40:26 +08:00
    可能就像网页点击攻击吧,管理员只有登录的时候,才会触发自动执行的恶意脚本,恶意脚本早已上传到网站后台了。
    xuanbg
        15
    xuanbg  
       2024-03-03 19:52:33 +08:00
    数据库必须用 IP 白名单来保护。
    proxytoworld
        16
    proxytoworld  
       2024-03-03 21:11:38 +08:00
    @Jirajine 都能写文件了,一万种方式执行脚本。。
    AssassinLOVE
        17
    AssassinLOVE  
       2024-03-04 03:14:35 +08:00
    应该是触发了
    hack
        18
    hack  
       2024-03-04 07:48:11 +08:00
    目测纯粹的巧合多一些
    corcre
        19
    corcre  
       2024-03-04 08:25:32 +08:00
    我们前段时间被黑了一次, 那天正好是全公司一起出去搞活动了, 没人看着设备, 回来发现服务器重启了, 一个叫"Windows"的用户正在操作, 给我们干懵了, 我都怀疑是不是有内鬼把公司的活动时间泄露出去了
    vincent7245
        20
    vincent7245  
       2024-03-04 09:27:50 +08:00 via Android
    1 防火墙,生产环境会涉及不同机房之间通过公网访问,配置好防火墙规则就行,只允许指定 IP 访问
    2 做好 1 就够了
    lyxxxh2
        21
    lyxxxh2  
       2024-03-04 09:39:19 +08:00
    就算公开,还有账号秘密这个"防御策略"。
    怎么泄露的 不晓得。

    我以前为了方便自己,自己服务器 公司服务器数据库都是公开的,也没见被黑。
    jadeborner
        22
    jadeborner  
       2024-03-04 10:12:53 +08:00
    @laminux29 只允许密钥登录还需要这个 fail2ban
    吗?
    WoneFrank
        23
    WoneFrank  
       2024-03-04 11:18:27 +08:00
    其实正常来说,及时更新组件版本,不要用弱口令,固定、重要业务白名单访问就已经够用了。
    例如 ssh ,可以仅公钥登录,而 mysql 这些的数据库,确实没必要放公网,要么就只允许本地登录。
    至于 0day 这块,可以考虑整个开源的 waf ,被 0day 打了,绕 waf 了那说明打你的价值比漏洞高,那自己对安全这块自然而然就需要增加投入。
    养成良好习惯,按着规范来,就不怕被黑了。
    WoneFrank
        24
    WoneFrank  
       2024-03-04 11:19:11 +08:00
    @WoneFrank 描述不清楚,ssh 用私钥登。
    laqow
        25
    laqow  
       2024-03-04 13:42:33 +08:00
    如果是租的 VPS 就同路由同内网下相邻的机子扫的,压根没有隔离,无数重放攻击,记一下 assess IP 就看到了,说的就是腾讯轻量云
    laminux29
        26
    laminux29  
       2024-03-04 16:39:08 +08:00
    @jadeborner 当然要。
    root0day8004
        27
    root0day8004  
       2024-03-04 18:43:10 +08:00
    @laqow 同一个腾讯云账号下且同一个大区下的轻量,内网才有可能是通的 ,你这情况 多半情况是卖家把他其中一台轻量给你用了 但另一台轻量给别人用了 别人做了扫描 ,影响到你了
    laqow
        28
    laqow  
       2024-03-04 18:57:56 +08:00
    @root0day8004 实际上同网段内网全通的,随便监听一下网卡隔壁发的什么请求都能看到
    taidayu
        29
    taidayu  
       2024-03-05 22:01:50 +08:00 via Android
    @laqow 不太可能吧,大厂肯定有做隔离,不同账户里机器内网才能互通
    taidayu
        30
    taidayu  
       2024-03-07 23:41:38 +08:00 via Android
    只有同账户里机器内网才能互通
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1994 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 00:45 · PVG 08:45 · LAX 16:45 · JFK 19:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.