V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
billyu
V2EX  ›  数据库

记一次公司数据库被黑事件

  •  
  •   billyu · 2017-02-04 16:01:41 +08:00 · 11173 次点击
    这是一个创建于 2831 天前的主题,其中的信息可能已经有所发展或是发生改变。

    时间:

    2017.2.4 上午 开工第一天

    经过:

    A. 9 点钟,公司几个小伙伴都准时来了(除了产品经理),吃早餐、喝水,此时一切正常。

    B. 9 点一刻,老板出场,每人问候一遍,查看项目进度,发现 app 无数据,我试图登录远程服务器,无果,等待产品经理开服务器

    C. 9 点半到 10 点,与老板私聊转正。

    D.10 点钟,产品经理出场,发现远程服务器被别人关闭,手动打开后, ssh 登录出现以下界面Imgur,打开目标链接:Imgur, mysql 数据库被初始化。

    大写的一脸懵逼

    107 条回复    2017-02-07 11:33:20 +08:00
    1  2  
    krisbai
        1
    krisbai  
       2017-02-04 16:04:21 +08:00
    服务器产品经理管????????
    songsong
        2
    songsong  
       2017-02-04 16:04:25 +08:00
    然后呢, 赶快排除是谁的锅吧, po 主还在这发帖
    misaka19000
        3
    misaka19000  
       2017-02-04 16:23:00 +08:00 via Android
    前排小板凳已经摆好了
    billycs
        4
    billycs  
       2017-02-04 16:24:26 +08:00
    服务器产品经理管????????
    demoxu
        5
    demoxu  
       2017-02-04 16:25:38 +08:00
    前排小板凳已经摆好了,等着看结果
    kookxiang
        6
    kookxiang  
       2017-02-04 16:26:25 +08:00 via Android
    数据库躺枪
    abc123ccc
        7
    abc123ccc  
       2017-02-04 16:28:02 +08:00
    我也觉得奇怪,为啥服务器由产品经理接管呢??
    Moker
        8
    Moker  
       2017-02-04 16:28:59 +08:00
    怎么产品管数据库
    R18
        9
    R18  
       2017-02-04 16:30:19 +08:00
    app 无数据都没人反馈的。。
    Mizzi
        10
    Mizzi  
       2017-02-04 16:30:52 +08:00
    THIS MACHINE HAS BEEN INFECTED WITH RANSOMWARE | THIS MACHINE HAS BEEN INFECTED WITH RANSOMWARE
    x86
        11
    x86  
       2017-02-04 16:31:12 +08:00 via Android
    越来越看不懂产品经理了…都能管服务器了
    rekulas
        12
    rekulas  
       2017-02-04 16:34:14 +08:00
    由此可见 使用专门的第三方数据库服务器还是有意义的
    SoloCompany
        13
    SoloCompany  
       2017-02-04 16:35:17 +08:00
    楼上两位有什么故事要说?
    holyzhou
        14
    holyzhou  
       2017-02-04 16:39:15 +08:00
    咱实话实说 是不是云服务器开到外网去了 然后还是 root + 弱密码?应该还是通过 ssh 进来的,因为你机器关机了,一般情况下你运行 mysql 的用户没有关机权限。
    Systemd
        15
    Systemd  
       2017-02-04 16:41:36 +08:00
    图片码没打好...标题栏上 IP 暴露了...

    有备份吗?
    lxlgod
        16
    lxlgod  
       2017-02-04 16:44:11 +08:00   ❤️ 1
    感觉大兄弟已经有应对的办法,还那么悠闲
    gamesbain
        17
    gamesbain  
       2017-02-04 16:47:20 +08:00
    THIS MACHINE HAS BEEN INFECTED WITH RANSOMWARE | THIS MACHINE HAS BEEN INFECTED WITH RANSOMWARE

    Hi,

    This machine has been infected by ransomware.
    You must pay 2 BITCOINS to: 1BbojChKJh3ste5Ky96sysvC1dxd1hGHNi to retrieve your files and/or prevent them from being leaked.

    We are the only ones in the world that can provide your files to you.
    When your machine was hacked, your files were sent to a server that we control.

    You can e-mail [email protected] for support, but please don't send us e-mails unless
    you have paid or are prepared to pay.
    Questions such as "can I see my files first?" will be ignored.

    FBI ADVISE FOR YOU TO PAY: https://www.tripwire.com/state-of-security/latest-security-news/ransomware-victims-should-just-pay-the-ransom-says-the-fbi/

    HOW TO PAY:

    You can purchase BITCOINS from many exchanges such as:

    http://okcoin.com
    http://coinbase.com
    http://localbitcoins.com
    http://kraken.com

    When you have sent payment, please e-mail [email protected] with "paid" in the subject so we can answer your e-mail first.
    Send us:

    1) SERVER IP ADDRESS
    2) BTC TRANSACTION ID

    and we will then give you access to files, you can delete files from us when done from an FTP server.

    Goodbye!
    daveincave
        18
    daveincave  
       2017-02-04 16:48:09 +08:00 via Android
    紧张的甩锅活动开始了😰
    mhycy
        19
    mhycy  
       2017-02-04 16:49:01 +08:00
    大概楼主口中的产品经理指的是他们的直属领导
    应该叫部门经理比较合适,技术出身,规划产品的大体走向开发节奏并分派任务
    irainsoft
        20
    irainsoft  
       2017-02-04 16:52:45 +08:00
    谁管服务器谁的锅

    话说这样子数据基本没希望了...直接重装系统拿备份文件恢复吧
    wildcat007
        21
    wildcat007  
       2017-02-04 16:54:38 +08:00
    赶紧恢复啊~找 dba 恢复,有木有备份?你还在这里发帖!
    onesez
        22
    onesez  
       2017-02-04 16:55:50 +08:00 via iPhone
    从删库到跑路
    wq2016
        23
    wq2016  
       2017-02-04 17:01:14 +08:00
    嗑瓜子中。。
    zgqq
        24
    zgqq  
       2017-02-04 17:01:29 +08:00
    666
    wdlth
        25
    wdlth  
       2017-02-04 17:05:50 +08:00
    勒索病毒?没备份的话就麻烦了。
    murmur
        26
    murmur  
       2017-02-04 17:10:43 +08:00
    勒索都是数据直接删除的,他既然拿你 root , dba 都没戏了,就看你们的每周备份能恢复多少了

    给比特币是最傻逼的做法
    murmur
        27
    murmur  
       2017-02-04 17:11:43 +08:00
    然后,如果按照不转不是中国人怎么写
    今天你支持比特币,明天加密你文件删你库的资金就是你提供的
    lan894734188
        28
    lan894734188  
       2017-02-04 17:13:29 +08:00
    啧啧 产品经理 密码是纯数字吧 直接上 root 吧

    (滑稽
    Infernalzero
        29
    Infernalzero  
       2017-02-04 17:14:29 +08:00
    贵公司的产品经理这是还兼了运维了?
    kn007
        30
    kn007  
       2017-02-04 17:15:30 +08:00
    产品经理管数据库服务器,很牛。。全栈产品经理。。
    cxlg66you
        31
    cxlg66you  
       2017-02-04 17:19:16 +08:00 via Android
    前排
    w4462358
        32
    w4462358  
       2017-02-04 17:30:59 +08:00
    mark
    yghack
        33
    yghack  
       2017-02-04 17:31:41 +08:00
    备份呢?
    huxiweng
        34
    huxiweng  
       2017-02-04 17:34:48 +08:00
    好了,看到你帖子,我也中招了,一脸懵逼: https://www.v2ex.com/t/338079#reply1
    krisbai
        35
    krisbai  
       2017-02-04 17:36:46 +08:00
    最近比特币还涨价了。。。
    tabris17
        36
    tabris17  
       2017-02-04 17:41:58 +08:00
    恩,运营可以休息一礼拜了
    tabris17
        37
    tabris17  
       2017-02-04 17:42:35 +08:00
    另外产品经理管服务器?
    rabbitinhere
        38
    rabbitinhere  
       2017-02-04 17:52:45 +08:00
    mark
    等待处理结果
    pwcong
        39
    pwcong  
       2017-02-04 17:53:18 +08:00
    直接上 root 的产品经理:)
    YzSama
        40
    YzSama  
       2017-02-04 17:53:34 +08:00
    估计辞职人数多达部门 3 人以上。
    forgcode
        41
    forgcode  
       2017-02-04 17:56:02 +08:00
    哦!这就是比特币涨价的原因?
    spark
        42
    spark  
       2017-02-04 17:56:43 +08:00
    看来转正没戏了
    linbiaye
        43
    linbiaye  
       2017-02-04 18:03:22 +08:00
    估计是个小公司,没啥安全意识, ssh root 被都被拿了。
    kokutou
        44
    kokutou  
       2017-02-04 18:04:55 +08:00 via Android
    2 比特币。。。 2000 多美元。。

    好像不算贵?
    s1ma
        45
    s1ma  
       2017-02-04 18:05:06 +08:00
    遇到收保护费的了,最近比较热的就是 redis 、 mongodb 等配置不当导致的被黑。

    尤其 redis 如果未授权,并且对外开放端口,很容易被搞到服务器权限的。

    猜测一般是弱密码导致的……不过数据没备份又被初始化这就是个悲伤的故事了!~
    tookbra
        46
    tookbra  
       2017-02-04 18:07:01 +08:00
    啊哦,直接 root 登陆(囧) 找找备份数据,能还原多少是多少, 支付比特币不靠谱
    chinafeng
        47
    chinafeng  
       2017-02-04 18:08:54 +08:00
    产品经理都能管服务器了 ?
    ![]( https://ooo.0o0.ooo/2017/02/04/5895a7ec67132.png)
    chinafeng
        48
    chinafeng  
       2017-02-04 18:09:11 +08:00
    哎, V2 到底怎么发图才会显示...
    panzhc
        49
    panzhc  
       2017-02-04 18:17:00 +08:00
    开始以为黑产品经理的,看了 /t/338079 ,应该都是 mongo 直接开公网没设置密码导致的,缺乏安全意识
    frozenshadow
        50
    frozenshadow  
       2017-02-04 18:25:03 +08:00 via Android
    .......前几天 mongo 也被勒索了,但人家只要 0.05btc 啊
    urmyfaith
        51
    urmyfaith  
       2017-02-04 18:46:40 +08:00
    backup ?
    ahkxhyl
        52
    ahkxhyl  
       2017-02-04 19:02:28 +08:00
    老板都拿着刀站在你后面了 你还在刷帖~
    Rabbit52
        53
    Rabbit52  
       2017-02-04 19:34:31 +08:00
    等待产品经理开服务器,这锅甩的好
    vloony
        54
    vloony  
       2017-02-04 20:00:46 +08:00
    乖乖给钱吧 我认为两个比特币的价格还是可以接受的 只能自认倒霉
    konakona
        55
    konakona  
       2017-02-04 20:04:42 +08:00
    才 2BTC ,赶紧付了吧。
    顺便态度好一点问下是怎么入侵的,并说 2BTC 是感谢他们找到漏洞,以后一定加强安全检测。

    人家 2BTC 不算太过分-。-
    但是为什么给 PM 管服务器???
    limhiaoing
        56
    limhiaoing  
       2017-02-04 20:32:51 +08:00
    上面几楼怂恿说 2BTC 不贵赶紧支付的是什么心态。
    m31271n
        57
    m31271n  
       2017-02-04 20:37:29 +08:00
    不用支付了,基本上被脱了库也不会有人备份的。想想那么多数据库被脱,得需要多少存储。
    jay4497
        58
    jay4497  
       2017-02-04 20:41:21 +08:00
    这种不是一般就算付了也不会给还原麽,感觉没戏了。。。
    sheep3
        59
    sheep3  
       2017-02-04 20:47:44 +08:00
    spring boot 群那个老哥么.....
    sobigfish
        60
    sobigfish  
       2017-02-04 21:05:03 +08:00
    mark,引以为戒 -.-
    abc123ccc
        61
    abc123ccc  
       2017-02-04 21:06:58 +08:00
    楼主,你们的服务器让我来接管吧,保证安全,至少我维护的 VPS 一直没有问题。
    zmj1316
        62
    zmj1316  
       2017-02-04 21:25:31 +08:00
    @m31271n 这是先本地加密再删库,勒索的是密码啊,存受害者那里的...
    limhiaoing
        63
    limhiaoing  
       2017-02-04 21:28:58 +08:00
    @zmj1316 看描述并不是本地加密。
    processzzp
        64
    processzzp  
       2017-02-04 21:53:27 +08:00 via Android
    @zmj1316 并不是,它直接把库删了然后留个信息走人,就算你付了钱它那边也没有你的数据。这不是“有良心”的勒索软件,这是骗一个傻子算一个。
    mseasons
        65
    mseasons  
       2017-02-04 22:36:54 +08:00
    砍死他们你就是老大了。
    buir
        66
    buir  
       2017-02-04 23:50:10 +08:00
    喊你 PAY 、、、哈哈哈~ 内鬼多半是!
    mingyun
        67
    mingyun  
       2017-02-04 23:54:16 +08:00
    围观,结果呢
    vanillahz
        68
    vanillahz  
       2017-02-05 01:45:33 +08:00
    估计是密码被扫什么的,安保不当。
    “ FBI 建议你付钱”,他的意思已经很明显了。
    precisi0nux
        69
    precisi0nux  
       2017-02-05 05:34:21 +08:00
    AWS RDS 保平安
    zylaputa
        70
    zylaputa  
       2017-02-05 07:40:16 +08:00 via Android
    最近做这种"生意"的感觉很多,家里挂个树莓派一天都能被扫八百遍。
    lightening
        71
    lightening  
       2017-02-05 07:44:23 +08:00
    看数据库 log 。一般 Twitter 上的例子,都是直接 drop 留信息走人。
    MongoDB 某些版本默认是监听 0.0.0.0 而且没密码的,一个周末被人 drop 几次,后一个人过来把前一个人的勒索信息 drop 再放个自己的信息的都有。别指望能弄回数据了。
    murmur
        72
    murmur  
       2017-02-05 09:01:14 +08:00
    @konakona 这种勒索的都是删库走人,今天你付款,支持比特币,明天删你库加密你文件删除你网站的经费就是你提供的
    peneazy
        73
    peneazy  
       2017-02-05 09:16:01 +08:00 via Android
    FBI 这都能搬出来
    discrete
        74
    discrete  
       2017-02-05 10:20:28 +08:00 via iPhone   ❤️ 1
    @lightening 感觉是自动化吧,这时候你付钱恢复的是上一个勒索信息 2333

    照这么说,一直付钱还是能拿回数据的
    Systemd
        75
    Systemd  
       2017-02-05 10:45:29 +08:00 via Android
    @precisi0nux AWS RDB 支持 MongoDB 了?
    clifftts
        76
    clifftts  
       2017-02-05 11:01:10 +08:00
    然后题主也被初始化了?
    precisi0nux
        77
    precisi0nux  
       2017-02-05 11:12:02 +08:00   ❤️ 1
    @Systemd 楼主说的是“ mysql 数据库被初始化”,所以我就提到 RDS 了, MongoDB 是 NoSQL 的,要在 AWS 找代替品的华可以看看 DynamoDB 。
    Systemd
        78
    Systemd  
       2017-02-05 11:18:28 +08:00 via Android
    @precisi0nux 抱歉 是我搞错了……
    lyragosa
        79
    lyragosa  
       2017-02-05 11:49:01 +08:00
    吓得我赶紧检查了一下备份数据
    vosb
        80
    vosb  
       2017-02-05 13:46:28 +08:00
    好多中招的啊
    spike774
        81
    spike774  
       2017-02-05 15:06:49 +08:00
    年里头我妈的电脑也中了类似的病毒,文件被加密并且付了勒索信,内容基本都一致。病毒名是 CryptXXX 3.0 ransomware.
    被恶意加密的文件基本无解,卡巴斯基之前出过一款恢复软件,原理上是比对未被加密的相同文件,暂时在 windows 平台有用,但是也没办法保证恢复。
    相关链接:
    https://malwaretips.com/blogs/remove-cryptxxx-3-0-ransomware-crypz-files-encrypted/
    https://www.pcrisk.com/removal-guides/9963-cryptxxx-ransomware
    https://support.kaspersky.com/viruses/disinfection/8547#block1
    SingeeKing
        82
    SingeeKing  
       2017-02-05 15:47:04 +08:00
    @chinafeng 评论里面发图只有几个固定的图床才会显示
    raptor
        83
    raptor  
       2017-02-05 15:56:07 +08:00
    赶紧用 ZFS ,定时快照,只要 ROOT 不丢,再怎么加密删库损失都不会太大
    harker
        84
    harker  
       2017-02-05 16:49:36 +08:00
    产品经理管数据库会不会很水,赶快找备份吧
    konakona
        85
    konakona  
       2017-02-05 16:52:49 +08:00
    @murmur 应该竭力禁止再发生第二次。不是说每时每刻都要交钱给那些找到你服务区漏洞的人,不要曲解了我的意思。做事有很多种方法,目前已经是楼主最糟糕的情况了,有一条路可以选,而且希望很大,那先想办法把问题解决了比讲什么都重要,对不对?(交钱拿回数据库,态度友好弄明白问题所在,避免下一次。其实我也遇到过我一些客户有好心的白客提供问题所在,加强他们的安全意识。)
    oojiayu
        86
    oojiayu  
       2017-02-05 18:29:33 +08:00
    @gamesbain 看这个比特币账户,貌似没有人付过钱。 1 分钱都没有收到过……
    sobigfish
        87
    sobigfish  
       2017-02-05 19:43:57 +08:00
    @oojiayu #86 这个不用看,他们多半都会新开 wallet ,而且收到后马上转移,那个 wallet 再也不会用了
    lightening
        88
    lightening  
       2017-02-05 21:17:42 +08:00
    @discrete  不,问题是 log 里完全没有读的操作。都是看都不看上来就 DROP 。每个 attacker 都是这样。其实他们备份数据成本挺高的,还不如直接 drop 掉。
    lightening
        89
    lightening  
       2017-02-05 21:18:28 +08:00
    @sobigfish 我 Twitter 上看到别人贴出来的账户,收了 7 个 BTC 了。
    huangchendz
        90
    huangchendz  
       2017-02-05 21:54:46 +08:00 via Android
    我靠,暗网上的免费邮箱,还不是自己搭的
    discrete
        91
    discrete  
       2017-02-06 00:59:12 +08:00 via iPhone
    @lightening 那这就很尴尬了
    likunyan
        92
    likunyan  
       2017-02-06 01:26:18 +08:00
    期待直播
    lightening
        93
    lightening  
       2017-02-06 07:11:15 +08:00
    @discrete 对啊,所以我叫楼主看看 log ,对方是不是真的有读过数据。
    msg7086
        94
    msg7086  
       2017-02-06 07:30:29 +08:00
    @konakona 如果楼主交了钱以后拿不到数据,层主你准备怎么补偿?
    jianghu521
        95
    jianghu521  
       2017-02-06 08:08:46 +08:00 via iPhone
    进展如何?
    yanzixuan
        96
    yanzixuan  
       2017-02-06 09:43:25 +08:00
    @oojiayu mongodb 大规模被搞的时候,有人就说过,你给了钱也不一定给能恢复数据啊。
    billyu
        97
    billyu  
    OP
       2017-02-06 09:47:30 +08:00
    谢谢大家的关心,统一回复下,没有付比特币,之前备份的恢复了一些数据,目前还在赶工,可累屎我啦
    silov
        98
    silov  
       2017-02-06 10:10:48 +08:00
    看下你们的 redis 是不是外网开放的。。。。
    billyu
        99
    billyu  
    OP
       2017-02-06 10:18:43 +08:00
    @silov 是的 现在把端口关了
    konakona
        100
    konakona  
       2017-02-06 10:38:37 +08:00
    @msg7086 我也是醉了。明摆着是赌博道理,为什么总有人跑出来站着说话不腰疼,如果楼主公司有那个水平能通过技术渠道拿回数据库,早就去弄了。支持 BTC 只是一个办法。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1770 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 16:34 · PVG 00:34 · LAX 08:34 · JFK 11:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.