V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ivae
V2EX  ›  问与答

数据库数据被篡改,如何追踪

  •  
  •   ivae · 2020-02-27 00:19:36 +08:00 · 2064 次点击
    这是一个创建于 1762 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天发现某个用户的数据不对,该数据是存在 Mongodb 的,是礼物的余额,全被改成了 99999,一下午被送出去不少,生产服务器只开放了 80,443,22,9200,5601 端口,数据库端口 27017 和 3306 都没有对公网开放,ssh 也禁用了密码登录,只能通过私钥登录,也没发现配置异常的 ssh 公钥,之前的数据库操作历史记录也被删除了,没法查看操作历史,数据库也没发现有其他用户账号,检查业务代码也没有相关操作的地方,检查了一圈没发现可能的地方,万幸没有被删库勒索

    之前没有相关服务器安全方面的经验,求教:

    1. 有哪些可能被黑的原因,要如何进行追踪和分析
    2. 暂时把 elk 的端口 9200,5601 关闭,22 端口也换了,还有哪些措施可以预防再次被黑
    11 条回复    2020-02-29 18:07:38 +08:00
    wafm
        1
    wafm  
       2020-02-27 00:21:29 +08:00   ❤️ 1
    再检查业务代码,有没有可能是被伪造包提交的
    mnssbe
        2
    mnssbe  
       2020-02-27 00:29:12 +08:00
    余额没有明细, 只有个数字?
    ivae
        3
    ivae  
    OP
       2020-02-27 00:40:40 +08:00 via iPhone
    @mnssbe 礼物增加减少都是有记录的,这个用户都没有相关记录,凭空多出来的,所以怀疑是直接改了数据库
    wafm
        4
    wafm  
       2020-02-27 00:45:27 +08:00
    @ivae 考虑攻防成本,如果对方有数据库权限,绝不会刷刷礼物而已。
    ericls
        5
    ericls  
       2020-02-27 00:52:22 +08:00 via iPhone
    这种东西应该用 append only log
    delectate
        6
    delectate  
       2020-02-27 06:43:15 +08:00
    1、和数据库无关,应该是业务上的问题,很多年前的脚本小子,专门找注入漏洞;根据你的描述,我认为估计是这样的;
    2、或者管理账号被攻破了(网站的,root 的都有可能);
    3、也可能是提交的包没有验证,这个还是得后端背锅;
    4、架构不完善,每一个操作做没有记录,也没有回溯的可能性了。
    freelancher
        7
    freelancher  
       2020-02-27 07:37:47 +08:00
    就没个运维吗?查数据库的日志呀。
    tankren
        8
    tankren  
       2020-02-27 08:42:58 +08:00
    @freelancher 楼主说了历史全被删了
    qwerthhusn
        9
    qwerthhusn  
       2020-02-27 10:29:50 +08:00
    有内鬼
    wafm
        10
    wafm  
       2020-02-27 16:39:07 +08:00
    @tankren 有数据库权限,直接脱了 扔个地址要 BTC 了 还刷啥礼物
    loginbygoogle
        11
    loginbygoogle  
       2020-02-29 18:07:38 +08:00 via iPhone
    可能应用被小学生破解了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1014 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:44 · PVG 04:44 · LAX 12:44 · JFK 15:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.