J'ai reçu hier une notification par SMS d'Alibaba Cloud au milieu de la nuit, m'informant que le serveur avait une exception de connexion à distance
Je suis venu dans l'entreprise ce matin et j'ai demandé si personne n'était connecté. Ensuite, j'ai vérifié le journal du système Ubuntu
Il a été constaté qu'il existe deux connexions, une de Roumanie et une de Shanghai. Les noms d'utilisateur utilisés sont tous deux mongodb
Une version de mongo a été installée sur cette machine à l'aide d'apt-get. . Plus tard, à cause de la version Trop basse pour être supprimée, cela ne sert à rien, mais il n'est pas désinstallé.
Ensuite, installez manuellement une version et démarrez-la avec les autorisations root.
Remarque :
Le système est Ubuntu 14.04
Aucun service n'est exécuté en utilisant l'utilisateur mongodb
Le pare-feu est toujours activé et autorise uniquement l'accès au port 22 et au port 80. Le port mongo n'est pas ouvert à le monde extérieur.
Vérifiez /etc/passwd et trouvez que mongodb106:65534::/home/mongodb:/bin/bash La commande en cours d'exécution est bash, et il est désormais interdit à cet utilisateur de se connecter.
En regardant le groupe d'utilisateurs mongodb, j'ai découvert que mongodb appartient en fait au groupe d'utilisateurs root. . .
Excusez-moi, monsieur, le nom d'utilisateur et le mot de passe générés par défaut pour cet utilisateur mongodb sont-ils les mêmes ? Ou ont-ils supprimé le mot de passe ? Quel dommage peut-on causer au serveur après s'être connecté avec cet utilisateur ?
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Après l'installation par défaut de MongoDB ubuntu, cela ressemble à ceci :
mongodb:X:121:65534::/home/mongodb:/bin/false
L'utilisateur mongodb est généré, mais ne peut pas se connecter au système d'exploitation.
D'après votre description, il y a deux possibilités :
1. L'utilisateur mongodb a peut-être été compromis et modifié pour pouvoir se connecter. Vérifiez tous les journaux pertinents, mais il n'a peut-être pas été supprimé.
2. Il se peut que ce soient simplement des outils d'analyse qui analysent votre système d'exploitation.
S'il s'agit de la première situation, les conséquences dépendront de l'intention malveillante de l'autre partie. Prenez rapidement des mesures correctives, installez les derniers correctifs de sécurité, vérifiez les configurations liées à la sécurité et sauvegardez/chiffrez les données commerciales clés.
Pour référence.
J'adore MongoDB ! Amusez-vous!
Série de conférences en ligne MongoDB 19 - MongoDB 10 étapes pour créer une vue unique
Venez tous demain, le 19, merci de cliquer sur :>---<