Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Несколько моих mysql баз были удалены каким-то вируcом (?) [Решено]  (Прочитано 6441 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
Всем привет
Сегодня работая на своем лептопе в Kubuntu 18 с mysql проектом и пользуя MySql Workbench 6.3
открыв базу данных с периодом в 5 минут увидел что 3 мои базы удалены
и база с сообщением об ошибке :
Цитировать
To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address 17MdANTVUPfn1SaqbbTQCNgAvQnoaQ6M2s and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. Backups that we have right now: Boxbooking2_LIVE_2019_06_20, Hostels2, Votes. Any email without your server IP Address or Domain Name and a Proof of Payment together will be ignored. If we dont receive your payment in the next 10 Days, we will delete your backup.

Я с такой хренью сталкивался на Digital Ocean когда затягивал с оплатой, с а на своем локальном лептопе как-то странно
MySql Workbench подключен только к локальному хосту и никаких других приложений работающих с MySql
(кроме phpmyadmin который не запущен) у меня не стоит.
В менюхах MySql Workbench никаких сообщений типа нелицензионная версия и вам надо оплать не нашел...
Это MySql Workbench дурит или я какой-то вирус(больше похоже) подхватил ?

Я переустанавливал Kubuntu буквально пару дней назад
Примерно через 6 часов ситуация с удалением баз повторилась...

Кроме всей системы которая из репозитория устанвливал несколько пакетов скачивая
skypeforlinux - отсюда http://www.skype.com/intl/ru/get-skype/on-your-computer/linux/
Опера - отсюда http://deb.opera.com/opera/pool/non-free/o/opera-stable/
indicator-brightness - подключал ppa:indicator-brightness/ppa
Slimjet - отсюда https://www.slimjet.com/ru/dlpage.php

Вроде больше ничего...

Эта дрянь как-то идентифицируется/лечиться ?
« Последнее редактирование: 18 Марта 2020, 11:10:34 от zg_nico »

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
тут форум базы каждый ночью копировать в файлы.
это вернулся.
я не знаю.
Wars ~.o

Онлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
sudo netstat -ntulp | egrep mysql?

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1850
  • ubuntu 20.04
    • Просмотр профиля
Ну так наверное всё же есть какой веб сайт, торчащий наружу?

А так вариантов масса может быть. Указанное в посте врядли виновато, кроме последнего — прям от сайта воняет. Но и то как-то очень сомнительно, чтобы кто-то в браузере заморочился.
« Последнее редактирование: 22 Августа 2019, 16:16:32 от soarin »

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
# sudo apt-get install  netstat
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package netstat

Или как устанавливать этот netstat?

Это Slimjet - кажется сомнительным?
А почему ?

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
Wars ~.o

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
Непонятно.  Это утилита как бы установлена но при вызове не находит :
# sudo apt-get install  net-tools
Reading package lists... Done
Building dependency tree       
Reading state information... Done
net-tools is already the newest version (1.60+git20161116.90da8a0-1ubuntu1).
0 upgraded, 0 newly installed, 0 to remove and 10 not upgraded.
# sudo net-tools -ntulp | egrep mysql
sudo: net-tools: command not found

Оффлайн zg_nico

  • Заслуженный пользователь
  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 3513
  • Nil mortalibus arduum est
    • Просмотр профиля
Это утилита как бы установлена но при вызове не находит
net-tools - это пакет, который включает в себя утилиту netstat
netstat - это утилита, которую Вам следует пытаться запускать.
Thunderobot G150-D2: Intel SkyLake Core i7-6700HQ 2.60GHz, 8Gb DDR4 2133 MHz, Intel HD530, NVidia GeForce GTX 960M 2Gb.  Ubuntu 16.04 64x [Unity], KUbuntu 18.04 64x.

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
mstdmstd,
даже netstat.
Wars ~.o

Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
Скорее всего mysqlworkbench что-то ломает из-за несовместимости с mariadb. По крайней мере экспорт баз из этой программы не импортируется в mariadb. А у вас стоит mariadb скорее всего. 
sudo systemctl status mariadbПопробуйте navicat для mariadb если у вас стоит mariadb
« Последнее редактирование: 22 Августа 2019, 20:16:48 от Dot-mitsu »

Оффлайн soarin

  • Старожил
  • *
  • Сообщений: 1850
  • ubuntu 20.04
    • Просмотр профиля
To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address
Какая несовместимость? Не может такой текст появится из-за ошибки 😀
Цитировать
To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address
Это типичный вымогатель. Типа как шифровальщик, только даже ещё тупее.
« Последнее редактирование: 22 Августа 2019, 20:29:02 от soarin »

Оффлайн JaligWei

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Тоже потерял так базу)
все потому что поставил легкий пароль открыл порт)...

Оффлайн mstdmstd

  • Автор темы
  • Активист
  • *
  • Сообщений: 322
    • Просмотр профиля
Нашел у себя программу netstat-nat :
# netstat-nat -v
Version 1.4.10

Synaptic нашел net-tools (NET-3 networking toolkit)

Выполняю :
# sudo netstat-nat -ntulp | egrep mysql
netstat-nat: invalid option -- 't'
# sudo netstat  -ntulp | egrep mysql
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1715/mysqld       
Тут что-то полезное ?


Я тоже при установке mysql поставил слабый пароль - так как это домашний лептоп.

Ну поменять пароль и восстановить базы не проблема - но непонятно из-за чего такая хрень и как ее побороть ?


Нет mariadb у меня не стоит.


Оффлайн Dot-mitsu

  • Активист
  • *
  • Сообщений: 299
    • Просмотр профиля
To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address
Какая несовместимость? Не может такой текст появится из-за ошибки 😀
Цитировать
To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address
Это типичный вымогатель. Типа как шифровальщик, только даже ещё тупее.
Аааааа. Ну в таком случае вы сами виноваты :) :)
Я то подумал, что просто на локальном компе без доступа извне такая фигня. Во-первых не давайте доступ к руту через ssh, во-вторых при настройке базы данных на mariadb (думаю на mysql тоже) есть такая прекрасная команда для настройки mariadb на безопасность и работу в продакшене
mysql_secure_installation

Пользователь добавил сообщение 23 Августа 2019, 09:47:16:
mstdmstd, на компе белый ip? Кабель интернета воткнут напрямую в компьютер  или через роутер?
Вас можно взломать извне только в случае если кабель в комп вставлен, там белый ip и фаервол не включен, не заблокирован входящий трафик по порту 3306.
Либо подключение через роутер, но настроен проброс портов.
Просто как только компьютер смотрит в интернет, чертовы китайские ботнеты начинают перебор паролей. Я не успел VPS запустить, так уже в /var/log/auth.log вижу тысячи попыток авторизации с разными паролями и логинами.

Стандартно, включаешь ufw, затем:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw limit 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Насчёт 22 порта limit это условие, если с 1 ip будет 6 соединений в течение 30 секунд, то фаервол дропнет. Либо открываешь только для необходимых адресов или пула адресов своего провайдера.
По 3306 порту открывай только своему необходимому ip, откуда будешь соединяться
sudo ufw allow proto tcp from 123.45.20.30 to any port 3306
ip написал от балды, там твой ip должен быть
« Последнее редактирование: 23 Августа 2019, 10:05:11 от Dot-mitsu »

Онлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
Тут что-то полезное ?

тут все норм., а покажите все
sudo netstat -ntulp

 

Страница сгенерирована за 0.056 секунд. Запросов: 23.