mongodb.log日志分析，发现被攻击的日志及后续的加固防范操作

# 查看最近的日志
tail -f /var/log/mongodb/mongod.log
grep -i "error\|warning\|delete\|drop" /var/log/mongodb/mongod.log

找到日志文件后，mongodb安装目录/logs/mongodb.log,过滤查询删库等敏感关键字：
grep -i "error\|warning\|delete\|drop" mongod.log >> 260226.log

建议尽快检查系统日志和MongoDB日志，确定具体的丢失时间和原因。

从mongodb.log日志中获取到的关键信息：
2026-02-07T01:44:26.129+0800 I NETWORK [thread1] connection accepted from 13.39.41.205:31822 #23645 (13 connections now open)
2026-02-07T01:44:26.130+0800 I COMMAND [conn23645] dropDatabase cmsServer starting
2026-02-07T01:44:26.158+0800 I COMMAND [conn23645] dropDatabase cmsServer finished
2026-02-07T01:44:26.349+0800 I - [conn23645] end connection 13.39.41.205:31822 (13 connections now open)

根据MongoDB日志分析，**数据库被恶意删除了**！

## 🔍 关键证据分析

### 1. **恶意删除操作记录**
```log
2026-02-07T01:44:26.130+0800 I COMMAND [conn23645] dropDatabase cmsServer starting
2026-02-07T01:44:26.158+0800 I COMMAND [conn23645] dropDatabase cmsServer finished

2026-02-07T01:44:26.557+0800 I COMMAND [conn23646] dropDatabase weiXinServer starting
2026-02-07T01:44:26.564+0800 I COMMAND [conn23646] dropDatabase weiXinServer finished
```

### 2. **攻击特征**
- **攻击源IP**: `13.39.41.205` (法国Amazon AWS服务器)
- **攻击时间**: 2026年2月7日凌晨1:44分
- **攻击方式**: 快速连续连接并执行删除命令
- **客户端**: Go语言驱动程序 (`mongo-go-driver` version 1.17.7)

### 3. **安全漏洞迹象**
```log
Assertion: 34348:cannot translate opcode 2013
```

这表明攻击者可能利用了MongoDB协议层面的漏洞。

## 🚨 紧急处理建议

### 1. **立即安全措施**
```bash
# 1. 立即停止MongoDB服务
sudo systemctl stop mongod

# 2. 检查防火墙设置
sudo iptables -L INPUT -v -n
sudo ufw status

# 3. 封禁攻击IP
sudo iptables -A INPUT -s 13.39.41.205 -j DROP
```

### 2. **安全加固**
```yaml
# 编辑 /etc/mongod.conf
net:
bindIp: 127.0.0.1,内网IP # 限制只允许本地和内网访问
port: 27017

security:
authorization: enabled # 启用认证
```

### 3. **检查系统安全**
```bash
# 检查是否有未授权用户
cat /etc/passwd | grep mongo

# 检查SSH登录记录
last | grep -E "(13.39.41.205|mongo)"

# 检查进程
ps aux | grep mongo
```

## 🛡️ 长期防护建议

### 1. **网络层防护**
```bash
# 配置安全组/防火墙
# 只允许特定IP访问27017端口
# 使用VPN或内网访问
```

### 2. **认证加强**
```javascript
// 创建管理员用户
use admin
db.createUser({
user: "admin",
pwd: "强密码",
roles: ["root"]
})

// 启用认证后重启MongoDB
```

### 3. **监控告警**
```bash
# 设置日志监控
tail -f /var/log/mongodb/mongod.log | grep -E "(dropDatabase|delete)"
```

## ⚠️ 重要提醒

这种情况很可能是**针对性攻击**，建议：
1. 立即更改所有MongoDB密码
2. 检查是否有其他系统被入侵
3. 联系安全专家进行全面安全审计
4. 考虑从最近备份恢复数据

攻击者来自AWS云环境，说明可能是自动化扫描工具发现的未保护MongoDB实例。

posted on 2026-02-27 17:19 oktokeep 阅读(0) 评论(0) 收藏举报