福利吧
2026年3月11日上午,有网友反馈论坛报错,数据库链接不上。
我登录服务器查看,发现论坛数据库被删除,随即联系APP运维飞哥展开排查。
经排查发现以下问题
1、论坛数据库被删除,网站文件没有异常。
2、服务器防火墙未开启。
3、从数据库错误记录中发现大量登录失败信息,从3月至今,尝试多个用户名及密码。
4、在服务器数据库中发现一条RECOVER_YOUR_DATA的信息,里面写着比特币支付地址:
You must pay 0.0128 BTC to bc1q7r3rd6xrq05zeu20ldylphzw6cj03ztlpxg82s In 48 hours, your data will be publicly disclosed and deleted..
分析:
首先是我的问题,不记得什么时候把防火墙关掉了,造成数据库接口暴露在外网,
黑客从一周前开始撞库攻击,直到今天撞库成功,破解了我8数字+大小写字母+符号的密码。
数据被黑客下载并删除,勒索0.0128比特币。
后续处理办法:
1、已打开防火墙,已修改数据库密码。
2、恢复备份数据,2026年2月27日。近两周的数据丢失。
3、discuz用户密码经MD5加密,非明文密码,大家放心不会产生泄露。
4、诚挚向大家道歉,以后一定做好安全工作。
5、论坛丢失数据问题一定妥善解决。
你居然把数据库端口暴露了?
我记得以前dz论坛报错好像暴漏过用户名密码。
早知道。。。。。
数据库文件不应该设置下每日自动备份嘛,保留最近7天文件
每天有备份,只不过是保存在本地,肯定是被删了,异地存储保险一些。
这两周挺忙的没逛论坛,对我来说0损失
龙大,为什么没有密码找回功能?
我就是第一批注册的,结果后来账号没了,又好不容易重新注册了一个
绝不能让黑客得逞,不交赎金是正确做法。
我就是说怎么突然这个月的签到记录没了,然后就看到这帖子了!!
md5既可以撞库也可以彩虹,等于所有人的密码都泄露了,你觉得这个没事?
还真没事,不管是撞库还是彩虹表,都无法拿到真正密码。
首先,md5是摘要算法,摘要就是把一堆复杂数据压缩成一个简短固定结果,大部分信息都被丢弃了。打个比方,有一组数字:10、20、30,他们相加结果是60,现在我只告诉你总和是60,你能猜出我用哪几个数相加得到的吗?可能是30+30,也可能是1+1+1+1+....。
其次,DZ论坛保存的是md5(md5('密码')+salt),也就是你的密码先经过一次md5计算摘要,然后加上论坛的随机盐值(salt)后,再次进行md5计算摘要。而且每一个论坛的随机盐值(salt)都不一样的,即使你在两个论坛使用了相同密码,在数据库里保存密码的md5值也是不同的。
最后,如果真的担心密码问题,你只需要修改本论坛的密码就行,不用管其它网站的密码,哪怕一模一样的也不用担心。
盗这玩意干啥 吃饱了撑的,一个交流平台,挺好的一个环境
不明觉厉,问了问专业硅士:
先把事故范围查清:1.暴露的是不是只有数据库端口。2.是否还有 SSH、面板、Redis、Mongo、phpMyAdmin 之类也暴露了。3.入侵后有没有新建账号、计划任务、后门、webshell。4.数据库只被删了,还是先被导出再删。5.攻击源 IP、时间线、使用的账号。
别在原机器上边修边用:更稳妥的是1.保留现场:日志、系统镜像、数据库日志。2.在新环境恢复业务。3.原机作为取证对象留着排查。
否则容易出现:
1.后门还在。2.日志被覆盖。3.攻击者用同样方式再进来。3)所有密钥和凭据全部轮换
不是只改数据库密码就完了,要一起换:数据库账号密码、服务器 SSH 密钥/密码、面板密码、对象存储/短信/邮件服务密钥、CDN、域名解析平台、备份系统账号、论坛后台管理员密码
补齐最基本的安全基线,至少要做到:
数据库仅允许内网或白名单访问、开启防火墙、SSH 禁密码或限制来源、登录失败限速/封禁、安装审计和告警、定期自动备份、备份做异地、离线、不可篡改、定期演练恢复
LONG大辛苦了,希望论坛越办越好吧也。
卧槽 这么一说得赶紧改密码啊
我记得好像之前也被删了。然后重新注册过的。
是的,很早的事了,但当时是不靠谱的内部人员删的。
完了!!我丢了两个女跑友!!long大赔我!!
醒醒 做梦呢还?
还好还好。2周恢复还可以
我的服务器,最近这是一直有ip不停的再尝试登陆,烦死了。添加了Fail2ban,服务器设置了SSH密钥登陆,禁止了密码登陆。还是有各种ip疯狂撞库。
签到断了,又得重新开始
不是我干的,不然不会只要0.0128比特币
好耳熟,像姜文的台词
支持long大
经常用的hifi音乐网站最近不能用了,最近黑客变多了?
密码是否有做md5加盐,没有也会被撞出来密码,数据库没做风控吗
之前有过一次类似的吧,12-13年注册的都清空了
请问下,我论坛3月签到天天签到,都没显示没签到,就显示最近两天的,前面的显示没签到怎么办?
大佬儿们,福吧账号忘记了该如何找回
大佬儿,那我3月3号注册的账号现在是不是就算无法登录了?
还能有办法找回账号吗?用的有邮箱接受邀请码!
我是国内知名备份厂商的方案顾问,有需要可以联系我
我说我的3月份签到怎么是空的呢
真厉害了 复杂密码都破解了 (,,•﹏•,,)
应该没加盐吧
md5 算不上加密,只能算哈希,建议改一改
接入cf或者自己搞个硬件防火墙吧