广州xx策划公司MongoDB恢复-2023.09.09

2023.09.08用户的MongoDB数据库被勒索病毒攻击,数据全部被清空。


提示:

mongoDB的默认端口为27017,黑客通常通过全网段扫描27017是否开放判断是否是MongoDB服务器。一旦发现27017开放,黑客就会用空密码、弱密码尝试连接数据库。黑客登录数据库后,会删除所有数据,然后新建一个勒索信息的集合,里面写了黑客的收款方式。

注意:

黑客并没有帮用户备份数据库,因此用户按黑客要求支持赎金后,也是拿不到数据的。

删库勒索跟加密勒索有本质区别,用户数据通常很大,黑客几乎不可能通过外网传输用户的全部数据,而且如此大流量的数据传输,100%会暴露黑客地址,从而给黑客带来巨大风险。所以从来没有哪个黑客会帮用户远程备份数据。


2023.09.09下午用户联系数寻信息,寻求数据恢复服务,工程师分析后判断可以恢复数据,之后双方达成恢复协议,我们立即安排工程师进行数据恢复。

按工作量是3个工作日完成恢复,但用户非常紧急,我们决定紧急加班恢复,争取周末就为用户恢复业务。

技术方案:

针对MonogoDB的恢复方案有很多,包括:

方案一:使用wt工具对数据进行打捞

要求有WT文件,且结构完好,这时可以用bsondump提取json:

复制代码
bsondump xxx.wt

生成的bson文件可用mongorestore导入到mongodb中:

复制代码
mongorestore --host  --port  --db= --collection=

方案二:采用DU_MongoDB_Restore系列工具做BSON碎片抽取,此工具可以直接从磁盘中提取出所有bson碎片。

首先在linux下提取到所有bson碎片:

复制代码
DU_MongoDB_Restore_Linux -s [source_dev] -d [out_bson_file]

然后在windows平台将提取到的bson文件转化为json:

生成的bson文件即可用mongorestore导入到mongodb中:

复制代码
mongorestore --host  --port  --db= --collection=

在本案例中,WT文件已经被删除,且无法恢复,因此只能采用方案二作BSON碎片提取。

最终我们提取出大量json碎片,并转化为json文件,交付给用户验收:

经过工程师加班紧急支持恢复,在次日(9月10日,周日)上午10:55完成恢复,通知了用户进行远程数据验收。

相关推荐
珠海西格电力2 小时前
西格电力零碳园区管理系统:核心功能全解析,赋能园区低碳智能化落地
大数据·运维·网络·人工智能·信息可视化·能源
ZPC82102 小时前
model bingxing
网络·人工智能·网络协议·机器人
运维行者_2 小时前
广域网性能监控:分布式IT架构下的链路质量保障
开发语言·网络·分布式·后端·架构·数据库架构
CoreTK芯通康EMC整改2 小时前
Type-C 高速接口 ESD 失效深度解析:器件选型 + PCB 布局双重解决方案
大数据·网络·emc·芯通康·pcb电磁兼容
OIDCAT3 小时前
国产USB转千兆网卡芯片CH398 VLAN应用
网络·嵌入式硬件·国产·usb转千兆网卡
hehelm3 小时前
Linux网络编程—HTTP静态文件服务器
linux·服务器·开发语言·网络·c++
ljs6482739514 小时前
Linux 网络常用命令与端口基础详解
linux·网络·php
Ai拆代码的曹操4 小时前
TCP 握手丢包分析:客户端连接超时、服务端无日志的场景排查实践
网络·网络协议·tcp/ip
白帽小阳4 小时前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
网络小白不怕黑4 小时前
13.SSH服务相关配置
服务器·网络·ssh