昨日の真夜中に、Alibaba Cloud からサーバーにリモート ログイン例外が発生したというテキスト メッセージ通知を受け取りました

今朝会社に来て、誰もログインしていないか聞いてみました。その後、ubuntu システム ログを確認しました

2 つのログインがあり、1 つはルーマニアから、もう 1 つは上海から使用されていることがわかりました。使用されているユーザー名は両方とも mongodb です。
この mongodb ユーザーは、apt-get を使用してこのマシンにインストールされました。後は、バージョンが低いので捨ててもダメですが、アンインストールはしません。
次に、バージョンを手動でインストールし、root 権限で起動します。

注:
システムは ubuntu 14.04
mongodb ユーザーを使用してサービスは実行されていません
ファイアウォールは常にオンで、ポート 22 とポート 80 へのアクセスのみを許可します。mongo ポートはオープンされていません。外の世界。
/etc/passwd を確認し、mongodb を確認します。106:65534::/home/mongodb:/bin/bash 実行中のコマンドは bash であり、このユーザーはログインを禁止されています。
mongodb ユーザー グループを見ると、mongodb は実際には root ユーザー グループに属していることがわかりました。 。 。

すみません、この mongodb ユーザーに対してデフォルトで生成されるユーザー名とパスワードは同じですか?それともパスワードを破ってしまったのでしょうか？このユーザーでログインすると、サーバーにどのような害が及ぶ可能性がありますか?