tl;dr: 荒らしが移行のある日、NewsBlur の MongoDB データベースを削除しました。 ファイルが盗まれたり置き忘れられたりすることは一度もありません。
私は、NewsBlur のすべての問題を Docker コンテナーに転送して、 来週に開始される適切な再設計 。 山積みの 12 か月の修理でしたが、NewsBlur の 5 つのデータベース サーバー (PostgreSQL、MongoDB、Redis、Elasticsearch、そしてすぐに ML ユニット) の Ansible + Docker の成果を享受しました。 その日は一度終わりになり、私は落ち着いて 機械が私たちより賢くなったら [conn63456621] 携帯電話で NewsBlur エラーが繰り返し発生したとき
あります基本的に、そのエラーメッセージには、もう一度検索したいフレーズの場所はありません. タンブル
MongoDB マシンにログインして、DB の情報を調べてみると、以下を通じて、ほぼすべてのスキームを…
nbset:
主要な )>
口
dbs READ__ME_TO_RECOVER_YOUR_DATA
0.000 GB
nbset- : 主要な>
- 通知
READ__ME_TO_RECOVER_YOUR_DATA
nbset : 主要な>
db .README
.入手() { "_id" ): ObjectId(」60d3e112ac48d82047aab95d 」) , "
ウィスパー素材" : "
ファイル全体バックアップされています。 それ以上の賞金を獲得するには、XXXXXXFTHISGUYXXXXXXX 48 時間に 0.03 BTC を支払う必要があるかもしれません。 48 時間の有効期限が切れると、ファイル全体が漏洩して明らかになる可能性があります。 支払いを拒否した場合は、クラシック ファイルのセキュリティ ガイドライン、GDPR に連絡し、個人ファイルを最初の種類で販売しているだけで、良くないことを伝えることができます。 ガイドラインのガイドラインの下で、あなたは深刻な真実または逮捕に直面し、あなたの嘆かわしいダンプはおそらく私たちのサーバーから落とされます! ここでビットコインを使う可能性があり、https://localbitcoins.com または https://expend.moonpay.io/ を費やすための強力な時間をつかむことができなくなったということです。 @recoverme.one と、データベース ダンプをダウンロードするためのリンクをランク付けします。」 }
これより3時間半早く、私はsw 最近のサーバーにMongoDBクラスターをかゆみました。 そうしたら、きれいにすべてが一度になった約1日で削除するために、露出に不可欠なフレッシュをシャットダウンしました。 そして、約1時間後に手元に届いたので、私がそれを行ったことに感謝します. これを輝かせて、私は、おそらくハッカーが、ひょっとしたら、これだけの時間ですべてのファイルをハングアップさせないことに気付きました.
それを念頭に置いて、ここで何が起こったのかについての質問に答えることにします. ハッキングの日に漏洩したファイルはありましたか?
NewsBlur の MongoDB サーバーはどのようにハッキングされたのですか?
の主な依頼について話すことから始めましょうすべてがあなたのファイルにもたらされたものです. 1. ハッキングの 1 日後に流出したファイルはありましたか?
私は、ハッキングの 1 日で一度も漏洩したファイルはなかったと断言できます。 これは、コンピューター化された攻撃者が適切に動作して削除指示を出し、MongoDB サーバーからファイルを切り離さなくなったことを示す 2 つの異なるログ ユニットのおかげで、これを知っています。 以下は、24 時間にわたる db-mongo1 マシンの帯域幅のスナップショットです:
9:35p間の40分間で私が経験したストレスを想像してみてください。 、ハッキングが開始されたとき、および10: 15p、新しいバックアップスナップショットが特定されてツールに配置されたとき。 瞬間ごとに分解してみましょう:
6:10p : 最近の db-mongo1 サーバーは、MongoDB 必須サーバーとして一度ローテーションに入れられました。 このマシンは、最近の急速に内部のほとんどの雲の最初になりました.
9:35p
: 3 時間後、コンピューター化されたハッキングの試行により、db-mongo1 サーバーへの接続が開かれ、データベースが直接削除されました。 ダウンタイムが発生しました。 10: 15p
: 早い古い不可欠なサーバーがローテーションに配置される可能性が最も高いよりも、サーバーのスナップショットが一度作成され、再接続時にバックアップがそれ自体を削除しないようにします。 この支払いで約 1 時間のダウンタイムが発生しましたが、毎日のバックアップ アーカイブに移動する必要がなくなったため、1 日あたり 18 時間近くのファイルを節約できました。 3:00a : スナップショットが完了し、老舗の不可欠なサーバーから最近の db-mongo1 へのレプリケーションが開始されます。 次の 1 時間半以内に調査するのは、DB のスイッチが帯域幅の式から見たものと思われるものです4:30a : 消滅した不可欠なサーバーからのインバウンドのレプリケーションが完了し、最近のセカンダリでアウトバウンドのレプリケーションが開始されます。 NewsBlurがエイドアップになりました
上のグラフが示す最大のファイルは、がっしりとしたデータベース スイッチは、帯域幅の計算式に感心しているようです。 6p から 9:30p まで、ファイルの量は、多くのセカンダリが同期している動作中の不可欠なサーバーからの予想量になりました。 3a では、転送された膨大な量のファイルを調査します。
これは、ハッカーは、一斉にハッキングを試みた空間で、かつてコンピュータ化されたデジタル バンダルになりました。 そして身代金を支払ったとしても、荒らしは知識をぶら下げず、邪魔をするものが何もないという理由で、何も得られません.
私たちはおそらく、サーバー上にあったファイルへの侵入を勝ち取るために、破壊者がローカルではなくなった可能性があると考えています。 MongoDB は、Docker コンテナーで最新バージョンの MongoDB を使用しているためです。 攻撃者が MongoDB と Docker のそれぞれに 0 日で侵入した場合を除き、MongoDB サーバー接続を奪うためにローカルにいた可能性は非常に低いです。
サーバーは一度スナップショットになったのですが、ハッカーがどのように侵入したかを解明するのに時間がかかりました.
2. NewsBlur の MongoDB サーバーはどのようにしてハッキングに勝利したのでしょうか?
Docker のおかげで、私が有効にし、適切に動作する内部サーバーを使用して厳格な許可リストに熱心に保存した ufw ファイアウォールが最近のサーバーで機能しなかったことが判明しました。 MongoDB をコンテナー化したとき、Docker は許可ルールを iptables に挿入し、MongoDB をレルムに開放しました。 そのため、私のファイアウォールは一度「精力的」になりましたが、 sudo iptables -L | grep 27017 でMongoDBが一旦レルムを起動したことを確認。 これは 2014 年以来 Docker フットガン .
正直に言うと、スワップを切り替えてから、ハッカー/破壊者が NewsBlur の MongoDB コレクションを落として、約 250 GB のファイルを身代金を要求するふりをするまでに 3 時間以上かかったことに、ちょっとびっくりしています。 これは、コンピューター化されたハッキングの作品であり、私がかつて準備ができていたものです。 NewsBlur は、バックアップが復元され、Docker 製のギャップが修正された後、約 1 時間後に一度オンラインになりました。
もし私がDockerの脆弱性を突っ込んで攻撃されたら、それは非常に劇的な読書に影響を与える可能性があります. Docker がサイレントにファイアウォールをオーバーライドすることで、Docker はファイアウォールをより単純化しました。 セキュリティを犠牲にしてコンテナのポートを起動したい開発者。 Linux で最も好まれているファイアウォールが活発であり、Docker が開始するように設定されているポートへの Web ウィスパー訪問者をフィルタリングしていることを検出した場合、Docker が警告を発する方がよいでしょう。
ファイルがないことがわかっている2番目の理由一度撮影されたのは、MongoDB win true のログへのエントリを検索したことによるものです。 これらのきちんとオフで詳細なログ ソースを使用すると、MongoDB にアクセスした 100 の既知の NewsBlur マシンの 1 つではないと信じられなくなったすべての人を検索するために、見事なきちんとした画像を呼び出すことができます。
$ 猫 /var/log/mongodb/mongod.log | egrep -v "159.65.XX.XX|161.89.XX.XX|<>" 2021-06-24T01:33:45.531+0000 I NETWORK171.25.193.78 から認定された接続: 26003 #63455699 (1189 接続が開始されました) 2021-06-24T01: 33: 45.635+0000 I ネットワーク [conn63455699] は 171.25.193.78 からコンシューマー メタデータを取得しました: 26003 conn63455699: { ドライバー: { タイトル: "PyMongo"、バージョン: "3.11.4" }、os: { 種類: "Linux"、タイトル: "Linux"、アーキテクチャ: "x86_64"、バージョン: "5.4.0-74-generic" }、プラットフォーム: " CPython 3.8.5.close.0" } 2021-06-24T01: 33: 46.010+0000 I ネットワーク171.25.193.78 から認可された接続: 26557 #63455724 (1189 接続が開始されました) 2021-06-24T01: 33: 46.092+0000 I ネットワーク [conn63455724] は 171.25.193.78 からコンシューマー メタデータを取得しました: 26557 conn63455724: { ドライバー: { タイトル: "PyMongo", バージョン: "3.11.4" }, os: { 種類: "Linux", タイトル: "Linux", アーキテクチャ: "x86_64", バージョン: "5.4.0-74-generic" }, プラットフォーム: "CPython 3.8.5.closing.0" } 2021-06-24T01: 33: 46.500+0000 I NETWORK [conn63455724] 接続を切断します 171.25.193.78: 26557 (1198 接続が開始されます) 2021-06-24T01: 33: 46.533+0000 I NETWORK [conn63455699] 接続中止 171.25.193.78: 26003 (1200接続開始) 2021-06-24T01: 34: 06.533+0000 I NETWORK185.220.101.6 から認可された接続: 10056 #63456621 (1266 接続が開始されました) 2021-06-24T01: 34: 06.627+0000 I ネットワーク [conn63456621] は 185.220.101.6 からコンシューマー メタデータを取得しました: 10056 conn63456621: { ドライバー: {タイトル: "PyMongo"、バージョン: "3.11.4" }、OS: { 種類: "Linux"、タイトル: "Linux"、アーキテクチャ: "x86_64"、バージョン: "5.4.0-74-generic" }、プラットフォーム:「CPython 3.8.5.close.0」} 2021-06-24T01:34:06.890+0000 I NETWORK 185.220.101.6 から認定された接続: 21642 #63456637 (1264 接続が開始されました) 2021-06-24T01: 34: 06.962+0000 I NETWORK [conn63456637] は 185.220.101.6 からコンシューマー メタデータを取得しました: 21642 conn63456637: { ドライバー: { タイトル: "PyMongo", バージョン: "3.11.4" }, os: { 種類: "Linux", タイトル: "Linux", アーキテクチャ: "x86_64", バージョン: "5.4.0-74-generic" }, platform: "CPython 3.8.5.closing.0" } 2021-06-24T01: 34: 08.018+0000 I COMMAND [conn63456637] dropDatabase config - 2021-06-24T01: 34: 08.018+0000 I COMMAND [conn63456637] dropDatabase 構成 - 1 つのコレクションを失う 2021-06-24T01: 34: 08.018+0000 I コマンド [conn63456637] dropDatabase 構成 - 失うシーケンス: config.transactions 2021-06-24T01: 34: 08.020+0000 I STORAGE [conn63456637] dropCollection: config.transactions (no UUID) - タンブル保留シーケンスへの名前変更: config.system.tumble.1624498448i1t-1.transactions with tumble optime { ts: Timestamp(1624498448, 1), t: -1 } 2021-06-24T01: 34: 08.029+0000 I REPL [replication-14545] config.system.tumbl のシーケンス タンブルを完了しています e.1624498448i1t-1.transactions with tumble optime { ts: Timestamp(1624498448, 1), t: -1 } (通知 optime: { ts: Timestamp(1624498448, 1), t: -1 }) 2021-06-24T01 : 34: 08.030+0000 I STORAGE [replication-14545] config.system.tumble.1624498448i1t-1.transactions のシーケンス タンブルを終了しています (UUID なし)。 2021-06-24T01: 34: 08.030+0000 I COMMAND [conn63456637] dropDatabase config - 1 つのコレクションを正常に削除しました (最新のタンブル optime: { ts: Timestamp(1624498448, 1), t: -1 }) 7ms 後。 データベースを失います 2021-06-24T01: 34: 08.032+0000 I REPL [replication-14546] config.system.tumble.1624498448i1t-1.transactions のシーケンス タンブルを完了しています。 ), t: -1 } (通知 optime: { ts: Timestamp(1624498448, 5), t: -1 }) 2021-06-24T01: 34: 08.041+0000 I COMMAND [conn63456637] dropDatabase config -完了 2021-06-24T01: 34: 08.398+0000 I COMMAND [conn63456637] dropDatabase newsblur - 開始 2021-06-24T01: 34: 08.398+0000 I COMMAND [conn63456637] dropDatabase newsblur - 37 を失うコレクション <> 2021-06 -24T01: 35: 18.840+0000 I COMMAND [conn63456637] dropDatabase newsblur - 完了 上記はかなりのものですが、そこからつかむ重要なファイルは次のとおりです。サブトラクティブ フィルターを利用して、既知の IP に一致しないすべての問題を写真に撮り、私は一度ローカルになり、その 2 つの接続を検索しました。 約1秒間隔で作られています。 これらの未知の IP からの各接続は、データベース全体の削除よりも早く、きちんと動作する瞬間に発生しました。 接続IDをたどることで、サーバーの近くにいるハッカーを検索しやすくなり、数秒後に削除するというきちんとした振る舞いをしました.
不思議なことに、私が IP にアクセスしたときに 二
コネクション 上で、私は Tor 出口ルーターに出くわしました:
Tor 出口ルーターの匿名性を維持する罰金のために、誰が責任を負っているのかを認識していることは間違いありません。 出口へノードは、彼らがもたらす大混乱のために、悲嘆に暮れる評判 をぶら下げます。 場所の所有者は、Tor を完全にブロックするかどうかについて悩んでいますが、名前のない Web ささやきの訪問者がサーバーにアクセスできるようにすることの価値を調査する人もいます。 NewsBlur の場合、NewsBlur は言論の自由の住処であり、検閲されたファイルの小売店がある国の顧客が制限を回避し、その領域への参入を莫大に勝ち取ることを可能にしているため、無名のインターネット Web ウィスパー訪問者をサポートする可能性を秘めた忍耐は、 3. これが二度と起こらないというスランプを作るために何が起こるのでしょうか?
明らかに、言論の自由を擁護し、言論への参入を勝ち取るための強化された方法を提供することには、代償が伴います。 したがって、NewsBlur が Web ささやきの訪問者を世界中のすべての読者に提供し続けるためには、いくつかの変更を行う必要があります.
メインスイッチは、風刺的に、私たちが転送する方法の範囲内にあった個人です. VPC は仮想内部クラウドであり、内部ネットワーク内の他のサーバーから過剰なサーバーに適切にアクセスできるようにします。 それにもかかわらず、内部ネットワークに移行する際に、公開されているマシンからすべての知識を移行したいと考えています. そして、これはそのプロジェクトで一度ステップ1になりました.すべてのデータベースで。 脅威に対するセキュリティを提供するためにファイアウォールを期待していましたが、ファイアウォールが静かに失敗したとき、私たちはカバーされていませんでした. ファイアウォールに障害が発生した場合、これがハングアップする可能性があることを誰がアドバイスする必要がありますか? パスワードは、ブルート強制されないように十分に長くする必要があると思います。なぜなら、閉じるときに、最初のパスワードを取得する DB が存在することを明確に示しているため、おそらく在庫を停止する可能性が非常に高いからです.
最後に、どのデータベースの顧客がデータベースをタンブルするパーミッションをハングアップするかを切り替える必要があります。 ほとんどのデータベースの顧客は、行儀がよく、読み取り権限と書き込み権限が必要です。 適しているのは、おそらく敵対的な行動を構成することを許可されている、ローカルホストのきちんとした振る舞いの人です。 悪意のあるデータベース担当者が記事を削除し始めた場合、データベースが無断で削除されるよりも早く、大量の記事に気付くことになります。 とはいえ、これらはいずれもきちんとした防御戦略の 1 つです。 ハッキングされた日からこのきちんとした Hacker Files スレッドが低迷したように 、きちんとした防御戦略は、きちんとした振る舞いをするものに決して依存することはできません-レイヤーをセットアップします。 そして、NewsBlur の場合、そのレイヤーは、以前は完全に機能していた許可リストにきちんと動作するファイアウォールでしたが、機能しなくなりました
きちんと好きなように、正確なヒーローはバックアップです。 洗練された、きちんとテストされたバックアップは、Web プロバイダーにとって不可欠な要素です。 それで、私は 今週後半に適切な NewsBlur の再設計を開始する準備をします
.
𝚆𝚊𝚝𝚌𝚑 𝙽𝙾𝚆 📺
以下は、24 時間にわたる db-mongo1 マシンの帯域幅のスナップショットです:
9:35p間の40分間で私が経験したストレスを想像してみてください。 、ハッキングが開始されたとき、および10: 15p、新しいバックアップスナップショットが特定されてツールに配置されたとき。 瞬間ごとに分解してみましょう:
6:10p : 最近の db-mongo1 サーバーは、MongoDB 必須サーバーとして一度ローテーションに入れられました。 このマシンは、最近の急速に内部のほとんどの雲の最初になりました.
9:35p
: 早い古い不可欠なサーバーがローテーションに配置される可能性が最も高いよりも、サーバーのスナップショットが一度作成され、再接続時にバックアップがそれ自体を削除しないようにします。 この支払いで約 1 時間のダウンタイムが発生しましたが、毎日のバックアップ アーカイブに移動する必要がなくなったため、1 日あたり 18 時間近くのファイルを節約できました。 3:00a- 4:30a
: 消滅した不可欠なサーバーからのインバウンドのレプリケーションが完了し、最近のセカンダリでアウトバウンドのレプリケーションが開始されます。 NewsBlurがエイドアップになりました上のグラフが示す最大のファイルは、がっしりとしたデータベース スイッチは、帯域幅の計算式に感心しているようです。 6p から 9:30p まで、ファイルの量は、多くのセカンダリが同期している動作中の不可欠なサーバーからの予想量になりました。 3a では、転送された膨大な量のファイルを調査します。
これは、ハッカーは、一斉にハッキングを試みた空間で、かつてコンピュータ化されたデジタル バンダルになりました。 そして身代金を支払ったとしても、荒らしは知識をぶら下げず、邪魔をするものが何もないという理由で、何も得られません.
私たちはおそらく、サーバー上にあったファイルへの侵入を勝ち取るために、破壊者がローカルではなくなった可能性があると考えています。 MongoDB は、Docker コンテナーで最新バージョンの MongoDB を使用しているためです。 攻撃者が MongoDB と Docker のそれぞれに 0 日で侵入した場合を除き、MongoDB サーバー接続を奪うためにローカルにいた可能性は非常に低いです。
サーバーは一度スナップショットになったのですが、ハッカーがどのように侵入したかを解明するのに時間がかかりました.
2. NewsBlur の MongoDB サーバーはどのようにしてハッキングに勝利したのでしょうか?
Docker のおかげで、私が有効にし、適切に動作する内部サーバーを使用して厳格な許可リストに熱心に保存した ufw ファイアウォールが最近のサーバーで機能しなかったことが判明しました。 MongoDB をコンテナー化したとき、Docker は許可ルールを iptables に挿入し、MongoDB をレルムに開放しました。 そのため、私のファイアウォールは一度「精力的」になりましたが、 sudo iptables -L | grep 27017 でMongoDBが一旦レルムを起動したことを確認。 これは 2014 年以来 Docker フットガン .
正直に言うと、スワップを切り替えてから、ハッカー/破壊者が NewsBlur の MongoDB コレクションを落として、約 250 GB のファイルを身代金を要求するふりをするまでに 3 時間以上かかったことに、ちょっとびっくりしています。 これは、コンピューター化されたハッキングの作品であり、私がかつて準備ができていたものです。 NewsBlur は、バックアップが復元され、Docker 製のギャップが修正された後、約 1 時間後に一度オンラインになりました。
もし私がDockerの脆弱性を突っ込んで攻撃されたら、それは非常に劇的な読書に影響を与える可能性があります. Docker がサイレントにファイアウォールをオーバーライドすることで、Docker はファイアウォールをより単純化しました。 セキュリティを犠牲にしてコンテナのポートを起動したい開発者。 Linux で最も好まれているファイアウォールが活発であり、Docker が開始するように設定されているポートへの Web ウィスパー訪問者をフィルタリングしていることを検出した場合、Docker が警告を発する方がよいでしょう。
ファイルがないことがわかっている2番目の理由一度撮影されたのは、MongoDB win true のログへのエントリを検索したことによるものです。 これらのきちんとオフで詳細なログ ソースを使用すると、MongoDB にアクセスした 100 の既知の NewsBlur マシンの 1 つではないと信じられなくなったすべての人を検索するために、見事なきちんとした画像を呼び出すことができます。
$ 猫 /var/log/mongodb/mongod.log | egrep -v "159.65.XX.XX|161.89.XX.XX|<>" 2021-06-24T01:33:45.531+0000 I NETWORK171.25.193.78 から認定された接続: 26003 #63455699 (1189 接続が開始されました) 2021-06-24T01: 33: 45.635+0000 I ネットワーク [conn63455699] は 171.25.193.78 からコンシューマー メタデータを取得しました: 26003 conn63455699: { ドライバー: { タイトル: "PyMongo"、バージョン: "3.11.4" }、os: { 種類: "Linux"、タイトル: "Linux"、アーキテクチャ: "x86_64"、バージョン: "5.4.0-74-generic" }、プラットフォーム: " CPython 3.8.5.close.0" } 2021-06-24T01: 33: 46.010+0000 I ネットワーク171.25.193.78 から認可された接続: 26557 #63455724 (1189 接続が開始されました) 2021-06-24T01: 33: 46.092+0000 I ネットワーク [conn63455724] は 171.25.193.78 からコンシューマー メタデータを取得しました: 26557 conn63455724: { ドライバー: { タイトル: "PyMongo", バージョン: "3.11.4" }, os: { 種類: "Linux", タイトル: "Linux", アーキテクチャ: "x86_64", バージョン: "5.4.0-74-generic" }, プラットフォーム: "CPython 3.8.5.closing.0" } 2021-06-24T01: 33: 46.500+0000 I NETWORK [conn63455724] 接続を切断します 171.25.193.78: 26557 (1198 接続が開始されます) 2021-06-24T01: 33: 46.533+0000 I NETWORK [conn63455699] 接続中止 171.25.193.78: 26003 (1200接続開始) 2021-06-24T01: 34: 06.533+0000 I NETWORK185.220.101.6 から認可された接続: 10056 #63456621 (1266 接続が開始されました) 2021-06-24T01: 34: 06.627+0000 I ネットワーク [conn63456621] は 185.220.101.6 からコンシューマー メタデータを取得しました: 10056 conn63456621: { ドライバー: {タイトル: "PyMongo"、バージョン: "3.11.4" }、OS: { 種類: "Linux"、タイトル: "Linux"、アーキテクチャ: "x86_64"、バージョン: "5.4.0-74-generic" }、プラットフォーム:「CPython 3.8.5.close.0」} 2021-06-24T01:34:06.890+0000 I NETWORK 185.220.101.6 から認定された接続: 21642 #63456637 (1264 接続が開始されました) 2021-06-24T01: 34: 06.962+0000 I NETWORK [conn63456637] は 185.220.101.6 からコンシューマー メタデータを取得しました: 21642 conn63456637: { ドライバー: { タイトル: "PyMongo", バージョン: "3.11.4" }, os: { 種類: "Linux", タイトル: "Linux", アーキテクチャ: "x86_64", バージョン: "5.4.0-74-generic" }, platform: "CPython 3.8.5.closing.0" } 2021-06-24T01: 34: 08.018+0000 I COMMAND [conn63456637] dropDatabase config - 2021-06-24T01: 34: 08.018+0000 I COMMAND [conn63456637] dropDatabase 構成 - 1 つのコレクションを失う 2021-06-24T01: 34: 08.018+0000 I コマンド [conn63456637] dropDatabase 構成 - 失うシーケンス: config.transactions 2021-06-24T01: 34: 08.020+0000 I STORAGE [conn63456637] dropCollection: config.transactions (no UUID) - タンブル保留シーケンスへの名前変更: config.system.tumble.1624498448i1t-1.transactions with tumble optime { ts: Timestamp(1624498448, 1), t: -1 } 2021-06-24T01: 34: 08.029+0000 I REPL [replication-14545] config.system.tumbl のシーケンス タンブルを完了しています e.1624498448i1t-1.transactions with tumble optime { ts: Timestamp(1624498448, 1), t: -1 } (通知 optime: { ts: Timestamp(1624498448, 1), t: -1 }) 2021-06-24T01 : 34: 08.030+0000 I STORAGE [replication-14545] config.system.tumble.1624498448i1t-1.transactions のシーケンス タンブルを終了しています (UUID なし)。 2021-06-24T01: 34: 08.030+0000 I COMMAND [conn63456637] dropDatabase config - 1 つのコレクションを正常に削除しました (最新のタンブル optime: { ts: Timestamp(1624498448, 1), t: -1 }) 7ms 後。 データベースを失います 2021-06-24T01: 34: 08.032+0000 I REPL [replication-14546] config.system.tumble.1624498448i1t-1.transactions のシーケンス タンブルを完了しています。 ), t: -1 } (通知 optime: { ts: Timestamp(1624498448, 5), t: -1 }) 2021-06-24T01: 34: 08.041+0000 I COMMAND [conn63456637] dropDatabase config -完了 2021-06-24T01: 34: 08.398+0000 I COMMAND [conn63456637] dropDatabase newsblur - 開始 2021-06-24T01: 34: 08.398+0000 I COMMAND [conn63456637] dropDatabase newsblur - 37 を失うコレクション <> 2021-06 -24T01: 35: 18.840+0000 I COMMAND [conn63456637] dropDatabase newsblur - 完了 上記はかなりのものですが、そこからつかむ重要なファイルは次のとおりです。サブトラクティブ フィルターを利用して、既知の IP に一致しないすべての問題を写真に撮り、私は一度ローカルになり、その 2 つの接続を検索しました。 約1秒間隔で作られています。 これらの未知の IP からの各接続は、データベース全体の削除よりも早く、きちんと動作する瞬間に発生しました。 接続IDをたどることで、サーバーの近くにいるハッカーを検索しやすくなり、数秒後に削除するというきちんとした振る舞いをしました.
不思議なことに、私が IP にアクセスしたときに 二
コネクション 上で、私は Tor 出口ルーターに出くわしました:
Tor 出口ルーターの匿名性を維持する罰金のために、誰が責任を負っているのかを認識していることは間違いありません。 出口へノードは、彼らがもたらす大混乱のために、悲嘆に暮れる評判 をぶら下げます。 場所の所有者は、Tor を完全にブロックするかどうかについて悩んでいますが、名前のない Web ささやきの訪問者がサーバーにアクセスできるようにすることの価値を調査する人もいます。 NewsBlur の場合、NewsBlur は言論の自由の住処であり、検閲されたファイルの小売店がある国の顧客が制限を回避し、その領域への参入を莫大に勝ち取ることを可能にしているため、無名のインターネット Web ウィスパー訪問者をサポートする可能性を秘めた忍耐は、 3. これが二度と起こらないというスランプを作るために何が起こるのでしょうか?
明らかに、言論の自由を擁護し、言論への参入を勝ち取るための強化された方法を提供することには、代償が伴います。 したがって、NewsBlur が Web ささやきの訪問者を世界中のすべての読者に提供し続けるためには、いくつかの変更を行う必要があります.
メインスイッチは、風刺的に、私たちが転送する方法の範囲内にあった個人です. VPC は仮想内部クラウドであり、内部ネットワーク内の他のサーバーから過剰なサーバーに適切にアクセスできるようにします。 それにもかかわらず、内部ネットワークに移行する際に、公開されているマシンからすべての知識を移行したいと考えています. そして、これはそのプロジェクトで一度ステップ1になりました.すべてのデータベースで。 脅威に対するセキュリティを提供するためにファイアウォールを期待していましたが、ファイアウォールが静かに失敗したとき、私たちはカバーされていませんでした. ファイアウォールに障害が発生した場合、これがハングアップする可能性があることを誰がアドバイスする必要がありますか? パスワードは、ブルート強制されないように十分に長くする必要があると思います。なぜなら、閉じるときに、最初のパスワードを取得する DB が存在することを明確に示しているため、おそらく在庫を停止する可能性が非常に高いからです.
最後に、どのデータベースの顧客がデータベースをタンブルするパーミッションをハングアップするかを切り替える必要があります。 ほとんどのデータベースの顧客は、行儀がよく、読み取り権限と書き込み権限が必要です。 適しているのは、おそらく敵対的な行動を構成することを許可されている、ローカルホストのきちんとした振る舞いの人です。 悪意のあるデータベース担当者が記事を削除し始めた場合、データベースが無断で削除されるよりも早く、大量の記事に気付くことになります。 とはいえ、これらはいずれもきちんとした防御戦略の 1 つです。 ハッキングされた日からこのきちんとした Hacker Files スレッドが低迷したように 、きちんとした防御戦略は、きちんとした振る舞いをするものに決して依存することはできません-レイヤーをセットアップします。 そして、NewsBlur の場合、そのレイヤーは、以前は完全に機能していた許可リストにきちんと動作するファイアウォールでしたが、機能しなくなりました
きちんと好きなように、正確なヒーローはバックアップです。 洗練された、きちんとテストされたバックアップは、Web プロバイダーにとって不可欠な要素です。 それで、私は 今週後半に適切な NewsBlur の再設計を開始する準備をします
.
𝚆𝚊𝚝𝚌𝚑 𝙽𝙾𝚆 📺 
