关于 MongoDB 数据库被勒索

12/19/2023 224 阅读需要1分钟
0
0
AI总结
在服务器上使用Docker部署MongoDB时,发现数据被删除,并出现名为READ__ME_TO_RECOVER_DATA的集合,要求支付比特币赎金。原因是未对MongoDB进行安全配置,导致数据库被攻击。解决方案包括:关闭默认端口27017,启用认证(auth=true),将bindIp限制为内网IP,并重新启动容器。通过调整配置和加强安全措施,问题得到解决。

背景

事情是这样的,在服务器上部署了docker,使用docker启动的moogodb,然后经常发现数据不见了。然后也没找到原因,在网上查了。最后发现在数据库下面多了一个collection,叫READ__ME_TO_RECOVER_DATApic

打开后里面有一条数据,内容是这样的。

All your data is backed up. You must pay 0.0061 BTC to bc1qxnymm0xynyetpqgzt3k7jlayc4p2kraz9nvppm In 48 hours, your data will be publicly disclosed and deleted. (more information: go to https://is.gd/rudata1)After paying send mail to us: dzen+18zvpb@onionmail.org and we will provide a link for you to download your data. Your DBCODE is: 18ZVPB 就是数据被删除了,需要支付一定的 btc 才可以恢复数据。

解决

  • 关闭默认的端口 27017
  • 修改配置文件 auth = true
  • bindIp 修改为内网
  • 然后重新启动容器得到解决
docker run --name mongo --restart=always -p 3009:27017 --net=mynet2 -v /data/mdb:/data/db -v /data/backup/mongodb:/data/backup -v /data/mdblog:/data/log -v /data/mongo_conf:/data/conf -d mongo