服务器数据库被攻击记录

标签:

本文出自jvm123.com-java技术分享站:http://jvm123.com/2019/07/db-attack.html

数据库服务被攻

在本网站还未正式备案上线之前,有一次访问特别慢,后来直接提示数据库连接失败。检查服务器发现,数据库已经停止运行了,于是重启了数据库。当时天真,觉得没有人会盯上一个还未出生的网站。第二天数据库再次停止,这次我没有急着恢复服务,而是先查看了数据库的日志(docker logs xxx)。

如下:

jvm123
jvm123
jvm123
jvm123

分析原因

一看一大跳,这就是DDOS攻击。DOS(deny offer service)就是通过不断访问服务器,使得服务器不堪重负,最终不能正常提供服务或者拒绝提供服务。 这些ip分布于德国、美国、河南、云南、浙江等地 ,即分布式的DOS攻击。甚至这些主机所有者很可能不知道自己的主机已经沦为黑客的工具。

解决方法

而这个问题通过关闭公网的端口就可以解决,由于我的数据库服务是使用docker部署的,所以关闭端口后,需要通过内网来提供服务,详见:使用docker network 组建docker容器之间的网络

又一个DDOS实例

此外,我又想起曾经使用redis的端口也没有关闭,所以就看了一眼数据,果然有被别人使用过的痕迹。

服务器数据库被攻击记录插图(4)
服务器数据库被攻击记录插图(5)

不但清空了我的数据,还被写入了两条linux命令。就是定时使用curl或wget下载一段脚本并执行。细思极恐,如果这两条命令执行成功,我的主机就很可能被用作进行分布式拒绝服务(DDOS)的工具,甚至被用作挖矿。所以我马上关闭了端口,并把redis服务加入docker局域网中使用。

为了确认,我在服务器ping了这个下载脚本的主机,发现这个俄罗斯域名并不能被正常解析,忽然觉得自己也并不需要很排斥大局域网,起码这次保护了我的主机。

发表评论