ポート開放してたらDB破壊され身代金を請求されかけた話 - 素人エンジニアの開発日記

CA Tech Dojo/Challenge/JOB Advent Calendar 2019 の5日目のエントリーです。 この記事はツッコミどころ満載です。どうぞご自由にツッコんでくださいませ。 大学院休学中の怠け野郎です。 mooriii.com 11/7~11/29にAbemaTVのフロントエンドでCA Tech JOBに参加しました。 １ヶ月のインターン終わりました～！ほんと早すぎた…そしてたくさんアベマくんグッズをもらった😂未熟すぎて若干折れかけたけど最後まで楽しめました！#catechjob pic.twitter.com/10BLtAainu— もーりー⛅ (@_mooriii) 2019年11月29日 インターンでは新規ページの仕様策定〜実装までやらせてもらいました。 ディレクターの方やデザイナーの方と連携しながら仕事をさせてもらいとてもいい経験になりました。 今日は油断

[fukken]

怪しげなデータの置き場にされて犯罪の片棒を担ぐ事になる可能性もある。仮に何も置いていないようなサーバーだったとしてもセキュリティはそれなりにちゃんとした方が無難。

[ngsw]

sshポートフォワードでできるのでそちらでやる、joe passwordしない、あたりでもかなり違うかもしれない。

[mayumayu_nimolove]

学生の時自宅サーバー作ってホムペ公開したら翌日ネットゲームのポータルに書き換わってたのはいい思い出

[send]

ポートは解放せずにsshポートフォワーディングしよう

[uunfo]

太字で「パスワードを変えずに」と書いてるけど”identified by ‘root’”してるじゃん。そりゃ乗っ取られるよ／太字部分が「パスワードをrootのまま」に変わった。よくわかってないままコピペしたGRANT文を実行したのね。

[fai_fx]

MySQLの root のパスワードはランダムに決まるようなったんじゃなかったでしたっけ...。

[biwakonbu]

色々つっこみ所はあるけどトンネル掘ればよかったのに。

[katzchang]

ええ話や

[shozzy]

やらかしちゃったアドベントカレンダーにも書けそうな内容

[kazuau]

mysqlデフォルトポートのままパスワードroot? 平均何分くらいで侵入されるかな。1時間保つことはないと思うが。

[mas-higa]

"0.2ビットコインを請求されかけました" 良かった。0.2ビットコインを請求された院生はいなかったんだ。

[rryu]

データベース直のランサムウェアというのがあるとは…

[rgfx]

よしphpmyadminを置こう！（）

[buhoho]

わりと最近sshポートフォワードでssh通してサーバーポートをローカルマシンのポートにバインドできるって知ったよ。DB使う人には常識っぽい

[sue445]

DBの　全オープンは　あかんやろ（一句）

[JULY]

「ポート開放」よりも、安易なパスワードを放置、の方が罪が重いのだが。

[brusky]

乗っ取りまでが早い。こういうDBを探し続けるbotとかがいるの？

[mistbind3u88]

よき

[wiii_na]

全然趣旨と関係ないけどこのエントリがはてぶで政治と経済に分類されてるのってタイトルの身代金ってワードに反応してるのかな。ポートとかDBだけじゃテクノロジーとして弱いのか

[dominion525]

SSHポートフォワーディングというものがあってね。

[hiromark]

こわいこわい

[shikiarai]

インターネットが思った以上に攻撃されてることが分かる話。

[akulog]

なんだこれは

[dedexchang]

凄い

[namelaw]

やっていきしかない

[n593977]

身代金はなかったけど壊されたことあった