@Nizamko

Как взламывают БД (MongoDB)?

Изначально БДшка была без авторизации — взломали (что в принципе неудивительно), удалив данные и оставив "сообщение", которое оставлю ниже.

Потом добавил авторизацию — снова взломали.
Потом запретил доступ к порту БД со всех портов (и в конфигах самой БД и через брандмауэр), кроме локалки — снова взломали и это уже удивило.
Причем удалили текущего пользователя с правами readWrite, вернули того, что был ранее с тем же логином и паролем и сделали свое дело. Каждый раз восстанавливаю данные из бэкапов.

Прила (на nodejs) лежит в докере как и БД и общаются они через мост (network) отдельно созданный для них.

В чем проблема, может кто знает?

В README оставляют такое сообщение:
All your data is backed up. You must pay 0.0067 BTC to *здесь был номер кошелька* In 48 hours, your data will be publicly disclosed and deleted. (more information: go to *здесь был адрес сайта*)After paying send mail to us: *здесь была почта* and we will provide a link for you to download your data. Your DBCODE is: ...


P.S. Я, если что, фронт, могу чего-то не знать)
  • Вопрос задан
  • 458 просмотров
Пригласить эксперта
Ответы на вопрос 5
mikes
@mikes
нарисуйте схему взаимодействия компонентов приложения и что именно торчит от него в публичной части. будут понятны векторы атак.

вангую что ломают вас не через субд как таковую (хотя держать ее с доступом извне странно) а через приложение. где то там есть возможность проводить инъекции и тд
Ответ написан
Комментировать
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Ну и зачем же вы, фронт, занимаетесь эксплуатацией? Намите на фрилансе админа, он вам за два часа всё нормально настроит.
Ответ написан
VoidVolker
@VoidVolker
Dark side eye. А у нас печеньки! А у вас?
Для этого вам требуется провести аудит безопасности вашего сервера или серверов опытным системным администратором или безопасником. Если самостоятельно не можете этого сделать - то есть фриланс, как уже сказали. Дистанционно по симптомам механизм взлома выяснить невозможно - там тысячи вариантов. После выяснения деталей ОС со всем содержимым следует полностью удалить и поставить новую с правильными настройками безопасности.
Ответ написан
Комментировать
saboteur_kiev
@saboteur_kiev Куратор тега Linux
software engineer
Не факт, что взламывают именно базу напрямую. Возможно скомпроментирован сервер, и в нем уже висит какой-то бекдор, через который ходят и вашу базу от имени локального mongo юзера коцают.
Ответ написан
Комментировать
@brar
Одним из возможных векторов взлома мог выступать докер в привилегированном режиме и левый контейнер, из него попали на хост.
Так или иначе, система скомпрометирована чуть более, чем полностью. Даже если Вы что-то наковыряете, доверие к системе по прежнему будет равно нулю.
Создание нового сервера или миграция на доверенный - это единственный выход. с правильно настроенной архитектурой безопасности всего вашего стека.
Искать место, откуда произошел инцидент, можно до бесконечности, однако смысла в этом мало, потому что никаких скилзов это не даст, не считая тех, которые касаются конкретно этого взлома.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы