这是一个创建于 1729 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天发现某个用户的数据不对,该数据是存在 Mongodb 的,是礼物的余额,全被改成了 99999,一下午被送出去不少,生产服务器只开放了 80,443,22,9200,5601 端口,数据库端口 27017 和 3306 都没有对公网开放,ssh 也禁用了密码登录,只能通过私钥登录,也没发现配置异常的 ssh 公钥,之前的数据库操作历史记录也被删除了,没法查看操作历史,数据库也没发现有其他用户账号,检查业务代码也没有相关操作的地方,检查了一圈没发现可能的地方,万幸没有被删库勒索
之前没有相关服务器安全方面的经验,求教:
- 有哪些可能被黑的原因,要如何进行追踪和分析
- 暂时把 elk 的端口 9200,5601 关闭,22 端口也换了,还有哪些措施可以预防再次被黑
 |
1
wafm 2020-02-27 00:21:29 +08:00  1
再检查业务代码,有没有可能是被伪造包提交的
|
 |
2
mnssbe 2020-02-27 00:29:12 +08:00
余额没有明细, 只有个数字?
|
 |
3
ivae OP @mnssbe 礼物增加减少都是有记录的,这个用户都没有相关记录,凭空多出来的,所以怀疑是直接改了数据库
|
 |
5
ericls 2020-02-27 00:52:22 +08:00 via iPhone
这种东西应该用 append only log
|
 |
6
delectate 2020-02-27 06:43:15 +08:00
1、和数据库无关,应该是业务上的问题,很多年前的脚本小子,专门找注入漏洞;根据你的描述,我认为估计是这样的;
2、或者管理账号被攻破了(网站的,root 的都有可能); 3、也可能是提交的包没有验证,这个还是得后端背锅; 4、架构不完善,每一个操作做没有记录,也没有回溯的可能性了。 |
 |
7
freelancher 2020-02-27 07:37:47 +08:00
就没个运维吗?查数据库的日志呀。
|
 |
8
tankren 2020-02-27 08:42:58 +08:00
@freelancher 楼主说了历史全被删了
|
 |
9
qwerthhusn 2020-02-27 10:29:50 +08:00
有内鬼
|
 |
11
loginbygoogle 2020-02-29 18:07:38 +08:00 via iPhone
可能应用被小学生破解了
|
Select Language