@Nizamko

Как взламывают БД (MongoDB)?

Изначально БДшка была без авторизации — взломали (что в принципе неудивительно), удалив данные и оставив "сообщение", которое оставлю ниже.

Потом добавил авторизацию — снова взломали.
Потом запретил доступ к порту БД со всех портов (и в конфигах самой БД и через брандмауэр), кроме локалки — снова взломали и это уже удивило.
Причем удалили текущего пользователя с правами readWrite, вернули того, что был ранее с тем же логином и паролем и сделали свое дело. Каждый раз восстанавливаю данные из бэкапов.

Прила (на nodejs) лежит в докере как и БД и общаются они через мост (network) отдельно созданный для них.

В чем проблема, может кто знает?

В README оставляют такое сообщение:
All your data is backed up. You must pay 0.0067 BTC to *здесь был номер кошелька* In 48 hours, your data will be publicly disclosed and deleted. (more information: go to *здесь был адрес сайта*)After paying send mail to us: *здесь была почта* and we will provide a link for you to download your data. Your DBCODE is: ...


P.S. Я, если что, фронт, могу чего-то не знать)
  • Вопрос задан
  • 520 просмотров
Пригласить эксперта
Ответы на вопрос 5
mikes
@mikes
нарисуйте схему взаимодействия компонентов приложения и что именно торчит от него в публичной части. будут понятны векторы атак.

вангую что ломают вас не через субд как таковую (хотя держать ее с доступом извне странно) а через приложение. где то там есть возможность проводить инъекции и тд
Ответ написан
Комментировать
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Ну и зачем же вы, фронт, занимаетесь эксплуатацией? Намите на фрилансе админа, он вам за два часа всё нормально настроит.
Ответ написан
VoidVolker
@VoidVolker
Dark side eye. А у нас печеньки! А у вас?
Для этого вам требуется провести аудит безопасности вашего сервера или серверов опытным системным администратором или безопасником. Если самостоятельно не можете этого сделать - то есть фриланс, как уже сказали. Дистанционно по симптомам механизм взлома выяснить невозможно - там тысячи вариантов. После выяснения деталей ОС со всем содержимым следует полностью удалить и поставить новую с правильными настройками безопасности.
Ответ написан
Комментировать
saboteur_kiev
@saboteur_kiev Куратор тега Linux
software engineer
Не факт, что взламывают именно базу напрямую. Возможно скомпроментирован сервер, и в нем уже висит какой-то бекдор, через который ходят и вашу базу от имени локального mongo юзера коцают.
Ответ написан
Комментировать
@brar
Одним из возможных векторов взлома мог выступать докер в привилегированном режиме и левый контейнер, из него попали на хост.
Так или иначе, система скомпрометирована чуть более, чем полностью. Даже если Вы что-то наковыряете, доверие к системе по прежнему будет равно нулю.
Создание нового сервера или миграция на доверенный - это единственный выход. с правильно настроенной архитектурой безопасности всего вашего стека.
Искать место, откуда произошел инцидент, можно до бесконечности, однако смысла в этом мало, потому что никаких скилзов это не даст, не считая тех, которые касаются конкретно этого взлома.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы