昨日の真夜中に、Alibaba Cloud からサーバーにリモート ログイン例外が発生したというテキスト メッセージ通知を受け取りました
今朝会社に来て、誰もログインしていないか聞いてみました。その後、ubuntu システム ログを確認しました
2 つのログインがあり、1 つはルーマニアから、もう 1 つは上海から使用されていることがわかりました。使用されているユーザー名は両方とも mongodb です。
この mongodb ユーザーは、apt-get を使用してこのマシンにインストールされました。後は、バージョンが低いので捨ててもダメですが、アンインストールはしません。
次に、バージョンを手動でインストールし、root 権限で起動します。
注:
システムは ubuntu 14.04
mongodb ユーザーを使用してサービスは実行されていません
ファイアウォールは常にオンで、ポート 22 とポート 80 へのアクセスのみを許可します。mongo ポートはオープンされていません。外の世界。
/etc/passwd を確認し、mongodb を確認します。106:65534::/home/mongodb:/bin/bash 実行中のコマンドは bash であり、このユーザーはログインを禁止されています。
mongodb ユーザー グループを見ると、mongodb は実際には root ユーザー グループに属していることがわかりました。 。 。
すみません、この mongodb ユーザーに対してデフォルトで生成されるユーザー名とパスワードは同じですか?それともパスワードを破ってしまったのでしょうか?このユーザーでログインすると、サーバーにどのような害が及ぶ可能性がありますか?
漂亮男人2017-05-02 09:28:31
MongoDB ubuntu をデフォルトでインストールすると、次のようになります:
mongodb:X:121:65534::/home/mongodb:/bin/false
ユーザー mongodb が生成されますが、オペレーティング システムにログインできません。
あなたの説明から、2 つの可能性があります:
1. ユーザー mongodb が侵害され、ログインできるように変更された可能性があります。関連するすべてのログを確認してください。ただし、削除されていない可能性があります。
2. オペレーティング システムをスキャンしたスキャン ツールである可能性があります。
最初の状況の場合、結果は相手に悪意があるかどうかによって異なります。早急に修復措置を講じ、最新のセキュリティ パッチをインストールし、セキュリティ関連の構成を確認し、主要なビジネス データをバックアップ/暗号化します。
ご参考までに。
MongoDB を愛してください!楽しむ!
MongoDB オンライン講義シリーズ 19 - MongoDB 単一ビューを構築する 10 ステップ
明日19日は皆さんクリックお願いします:>---<
