早上看新聞的時候看到了個醒目的新聞
開源中國:MongoDB 贖金事件持續發酵,究竟是誰之過?
博客園:MongoDB數據庫勒索,中國受害者數量超乎你的想象,SOS!
1. 由於自己之前做過的項目,Redis也是開放式的登錄。
也就是知道 ip 端口號就能直接連上去了。本着別人又不知道我們的ip跟端口號的原則,額……
然后中間看到這句話:
2. 然后我就抱着試試看的態度,打開這個Shodan->邪惡的網站:
順手搜了一下MongoDB:
看到各種MongoDB的實例,我就縮小了范圍點了China:
比如說這一條:
這種能看到數據庫信息的基本上都是能直接登錄,不需要用戶名密碼的。
3. 花了1分鍾,就找到了5個能夠直接看到數據的
當然增刪改查都沒問題……
看到這里你還不去改MongoDB的設置嗎?
4. 那么我們再看看 redis的,搜索過程比較簡單我就省了。你就看看結果:
頂部是連接方式,用redis的人大多都不會改它的默認端口號。
所以想都很不要想用6379就好了。
然后keys * 看看它所有的鍵值對.
5.即使6379端口號不能用,那么你在看看他的詳細信息:
什么都告訴你了……
6.為什么我拿的那些信息沒有打馬賽克?
因為這個搜索工具太方便了,這些信息太容易得到了……