Как взламывают БД (MongoDB)?

Question

[Nizamko]

Изначально БДшка была без авторизации — взломали (что в принципе неудивительно), удалив данные и оставив "сообщение", которое оставлю ниже.

Потом добавил авторизацию — снова взломали.
Потом запретил доступ к порту БД со всех портов (и в конфигах самой БД и через брандмауэр), кроме локалки — снова взломали и это уже удивило.
Причем удалили текущего пользователя с правами readWrite, вернули того, что был ранее с тем же логином и паролем и сделали свое дело. Каждый раз восстанавливаю данные из бэкапов.

Прила (на nodejs) лежит в докере как и БД и общаются они через мост (network) отдельно созданный для них.

В чем проблема, может кто знает?

В README оставляют такое сообщение:

All your data is backed up. You must pay 0.0067 BTC to *здесь был номер кошелька* In 48 hours, your data will be publicly disclosed and deleted. (more information: go to *здесь был адрес сайта*)After paying send mail to us: *здесь была почта* and we will provide a link for you to download your data. Your DBCODE is: ...

P.S. Я, если что, фронт, могу чего-то не знать)

Comments

[Alexey Dmitriev]

Кто-то точно знает - но с такой постановкой вопроса ответить на него нельзя. И IMHO это вообще тянет на нарушение п.5.12 https://qna.habr.com/help/rules

[Drno]

вывод docker ps покажите с сервера

Answer 1

[mikes]

нарисуйте схему взаимодействия компонентов приложения и что именно торчит от него в публичной части. будут понятны векторы атак.

вангую что ломают вас не через субд как таковую (хотя держать ее с доступом извне странно) а через приложение. где то там есть возможность проводить инъекции и тд

Answer 2

[ky0]

Ну и зачем же вы, фронт, занимаетесь эксплуатацией? Намите на фрилансе админа, он вам за два часа всё нормально настроит.

Comments

[Nizamko]

С таким же успехом можно сказать "Ну и зачем же вы, *любой человек*, занимаетесь эксплуатацией? Намите на фрилансе *кого нужно*, он вам за два часа всё нормально настроит.
Давайте в таком случае никуда не лезть, ничем не интересоваться и не получать опыт, учась на своих же ошибках?)

[ky0]

Nizamko, совершенно верно. Но интересоваться и получать опыт надо не на взломанной системе методом слепого набора команд.

[Nizamko]

Тоже верно, соглашусь

Answer 3

[VoidVolker]

Для этого вам требуется провести аудит безопасности вашего сервера или серверов опытным системным администратором или безопасником. Если самостоятельно не можете этого сделать - то есть фриланс, как уже сказали. Дистанционно по симптомам механизм взлома выяснить невозможно - там тысячи вариантов. После выяснения деталей ОС со всем содержимым следует полностью удалить и поставить новую с правильными настройками безопасности.

Answer 4

[Saboteur]

Не факт, что взламывают именно базу напрямую. Возможно скомпроментирован сервер, и в нем уже висит какой-то бекдор, через который ходят и вашу базу от имени локального mongo юзера коцают.

Answer 5

[brar]

Одним из возможных векторов взлома мог выступать докер в привилегированном режиме и левый контейнер, из него попали на хост.
Так или иначе, система скомпрометирована чуть более, чем полностью. Даже если Вы что-то наковыряете, доверие к системе по прежнему будет равно нулю.
Создание нового сервера или миграция на доверенный - это единственный выход. с правильно настроенной архитектурой безопасности всего вашего стека.
Искать место, откуда произошел инцидент, можно до бесконечности, однако смысла в этом мало, потому что никаких скилзов это не даст, не считая тех, которые касаются конкретно этого взлома.