昨天半夜接到阿里雲簡訊通知,說伺服器有異地的登入異常
今早來公司問了一圈沒人登錄,然後去看ubuntu系統日誌
發現有兩條登錄,一條來自羅馬尼亞,一條來自上海,使用的用戶名都是mongodb
本機使用apt-get 安裝過一個mongo版本,此mongodb用戶就是這個生成的,後來因為版本過低廢棄用,但是沒有卸載。
後又手動安裝一個版本,使用root權限啟動運作。
說明:
系統 ubuntu 14.04
未使用mongodb用戶運行任何服務
防火牆一直處於開啟狀態 只允許訪問22端口和80端口,mongo端口等不對外開放。
查看/etc/passwd 發現mongodb106:65534::/home/mongodb:/bin/bash 執行指令為bash,現在已經禁止此使用者登入。
查看mongodb使用者群組發現mongodb竟然屬於root使用者群組。 。 。
請問下大神,這個mongodb使用者預設產生的使用者名稱密碼都是一樣的麼?還是他們是撞出來的密碼?使用這個用戶登陸後對伺服器可造成哪些傷害?
漂亮男人2017-05-02 09:28:31
MongoDB ubuntu缺省安裝後,是這樣的:
mongodb:X:121:65534::/home/mongodb:/bin/false
產生了使用者mongodb,但是無法登入作業系統的。
從你的描述來看,有兩種可能:
1、mongodb這個用戶可能被攻陷了,而且被修改為可以登入。把相關的日誌都看看,但也有可能沒刪除了。
2、也可能只是一些掃描工具,掃描了你的作業系統。
如果是第一種情況,後果就看對方是否有惡意了。趕快做一些補救措施吧,安裝最新的安全補丁,檢查安全相關的配置,做好關鍵業務資料的備份/加密。
供參考。
Love MongoDB! Have fun!
MongoDB線上講座系列19- MongoDB 10步驟建構單一視圖
明天大家都來吧,19日,請戳:>---<
