服务器被黑了,被删库勒索

这段时间整了台物理机,设置了公网 IP,搭建了 lnmp 环境
就在今天早上,刚到公司,打开这台服务器的数据库(上周五刚转来的一个库)一看

这一天来了,数据库被删了,服务器被盯上了
咦 ?我的表哪去了 ??
又重新开关了一下,还是如此
打开这个表一看,好家伙!

这一天来了,数据库被删了,服务器被盯上了

被黑了…………
幸好就只是个测试的数据库,没啥东西

看了下我的用户表

这一天来了,数据库被删了,服务器被盯上了

host 设置的都是 localhost 本地才能访问,除了最下那个用户是 %
这两个 communication 用户是 lnmp 一键包在创建数据库时自己生成的,host % 是我后期改的,当时也没用它
然后我用这个用户连接了下

这一天来了,数据库被删了,服务器被盯上了
这个用户还没有表的权限,应该不是因为这个用户登录进来的
然后看了下 lastb 失败登录信息

这一天来了,数据库被删了,服务器被盯上了

在这台服务器配置好 IP 那天起,这就开始了……
暂时修改了下远程端口,这才消停下来
因为对 linux 不是特别了解,现在也不知道是怎么进来把我的库删了的
希望大佬们提供个排查路线或者说关于公网服务器在安全上的一些建议
系统 centOS 7.9
环境 lnmp 1.8 (mysql5.7)

本作品采用《CC 协议》,转载必须注明作者和本文链接
附言 1  ·  3年前

希望大家都要引以为戒!!如果是重要数据,到时哭都晚了

《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
讨论数量: 8

密码设置复杂点,关闭端口远程连接

3年前 评论

建议:

  1. 把所有的默认端口都改掉,包括 ssh(除了80和443),ssh改为仅密钥登录
  2. 所有的软件都改为监听局域网ip,如果是单机,全部监听127.0.0.1,能加密码的软件一律加密码,例如redis
  3. 本地开发机不要用破解软件,可用盗版,所有软件均从官方下载
  4. 检查服务器是否有后门脚本,检查项目是否有漏洞或后门脚本
3年前 评论
Su (楼主) 3年前
jackmeng (作者) 3年前
BuickWang 3年前

我之前Mongodb也被黑过,找原因是因为把远程连接打开了,也就是本来是127.0.0.1改成了0.0.0.0

3年前 评论
Su (楼主) 3年前
Su (楼主) 3年前
她来听我的演唱会 (作者) 3年前
Su (楼主) 3年前

这种都是批量扫描的脚本,专门攻击一些安全弱,默认端口配置的服务器

3年前 评论
Su (楼主) 3年前
自由与温暖是遥不可及的梦想

好家伙

还要比特币支付

3年前 评论
Su (楼主) 3年前

ssh 改用证书登录,最好不要用密码登录

3年前 评论
Su (楼主) 3年前

我怎么感觉是phpadmin没关闭导致直接操作的

3年前 评论
Su (楼主) 3年前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!