Re: [pgbr-geral] PostgreSQL ataque???
Sim O pessoal do sistema deixou o pg_hba aberto sem precisar de senha o cliente sofreu um ataque e apagaram várias tabelas até para o banco, tive que restaurar um backup . Em 20 de abr de 2017 9:30 AM, "Rodrigo Della Justina" < rodrigodellajust...@gmail.com> escreveu: > Sim > > Aconteceu isso ontem em um ambiente de testes meu > > 2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > >> Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e >> as tabelas do banco sumiram... >> >> tem somente uma tabela "warning" com os seguintes dados >> >> >> "Send 0.5 BTC to this address and go to this site >> http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will >> be available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" >> ecnsupp...@mai2tor.com" >> >> >> Alguém já viu isso?? >> >> ___ >> pgbr-geral mailing list >> pgbr-geral@listas.postgresql.org.br >> https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral >> > > > > -- > *Rodrigo Della Justina * > Mobile 55 46 98801 6165 > rodrigodellajust...@gmail.com > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
meu ambiente é linux Em qui, 20 de abr de 2017 às 09:35, Rodrigo Della Justina < rodrigodellajust...@gmail.com> escreveu: > restore em ambiente mesmo e mudança nas políticas de segurança > > Em 20 de abril de 2017 09:32, Pedro B. Alves > escreveu: > >> >> >> Em qui, 20 de abr de 2017 às 09:30, Rodrigo Della Justina < >> rodrigodellajust...@gmail.com> escreveu: >> >>> Sim >>> >>> Aconteceu isso ontem em um ambiente de testes meu >>> >> >> >> E o que você fez? teve algum progresso? >> >> ___ >> pgbr-geral mailing list >> pgbr-geral@listas.postgresql.org.br >> https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral >> > > > > -- > *Rodrigo Della Justina * > Mobile 55 46 98801 6165 > rodrigodellajust...@gmail.com > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
restore em ambiente mesmo e mudança nas políticas de segurança Em 20 de abril de 2017 09:32, Pedro B. Alves escreveu: > > > Em qui, 20 de abr de 2017 às 09:30, Rodrigo Della Justina < > rodrigodellajust...@gmail.com> escreveu: > >> Sim >> >> Aconteceu isso ontem em um ambiente de testes meu >> > > > E o que você fez? teve algum progresso? > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > -- *Rodrigo Della Justina * Mobile 55 46 98801 6165 rodrigodellajust...@gmail.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Solução encontrada: Mudança de porta padrão, alteração de senhas dos usuários de banco de dados e também melhora no hba. 2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e > as tabelas do banco sumiram... > > tem somente uma tabela "warning" com os seguintes dados > > > "Send 0.5 BTC to this address and go to this site > http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be > available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" > ecnsupp...@mai2tor.com" > > > Alguém já viu isso?? > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > -- *Rodrigo Della Justina * Mobile 55 46 98801 6165 rodrigodellajust...@gmail.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
O que tenho notado, é que aconteceu isso pelo simples fato de deixar TRUST nas conexões e aí tem uma dll que fica dentro da pasta data e que faz o estrago. Lembrando que acontece isso somente ema ambientes Windows :( 2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e > as tabelas do banco sumiram... > > tem somente uma tabela "warning" com os seguintes dados > > > "Send 0.5 BTC to this address and go to this site > http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be > available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" > ecnsupp...@mai2tor.com" > > > Alguém já viu isso?? > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > -- *Rodrigo Della Justina * Mobile 55 46 98801 6165 rodrigodellajust...@gmail.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Em qui, 20 de abr de 2017 às 14:21, Francisco Junior escreveu: > Só se vc tiver backup... > > Em 20 de abril de 2017 09:19, Pedro B. Alves > escreveu: > >> >> >> Em qui, 20 de abr de 2017 às 09:08, Francisco Junior < >> francisco...@gmail.com> escreveu: >> >>> Bom dia! >>> >>> Acho melhor pagar, aconteceu isso melhor saída é pagar, depois melhora a >>> segurança da banco e implanta politicas de backup. >>> >>> >> >> Até pode ser a melhor saída.. >> >> Mas não acredito que não tenha nenhuma forma de fazer voltar o banco pelo >> PG??? >> > Não, não tem. Você precisa ter backup incremental com arquivamento (PITR) em uso para fazer isso. Mas pelo que disse, você não tem nem um dump... você não tem outra saída. E esse ataque é mais comum do que se imagina, acontece muito em instalações MongoDB porque as portas são todas abertas por default. Eu inverteria a ordem do que o colega disse acima : Pague (e recupere seus dados), faça um boletim de ocorrência. *Antes* de restaurar, coloque em prática uma política de backup e faça uma auditoria de segurança pra evitar que o ataque se repita. []s Flavio Gurgel ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Em qui, 20 de abr de 2017 às 09:30, Rodrigo Della Justina < rodrigodellajust...@gmail.com> escreveu: > Sim > > Aconteceu isso ontem em um ambiente de testes meu > E o que você fez? teve algum progresso? ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Sim Aconteceu isso ontem em um ambiente de testes meu 2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e > as tabelas do banco sumiram... > > tem somente uma tabela "warning" com os seguintes dados > > > "Send 0.5 BTC to this address and go to this site > http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be > available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" > ecnsupp...@mai2tor.com" > > > Alguém já viu isso?? > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > -- *Rodrigo Della Justina * Mobile 55 46 98801 6165 rodrigodellajust...@gmail.com ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
> > > Você não tem backups ? > > []s > Flavio Gurgel > > Este cliente não tem.. ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Só se vc tiver backup... Em 20 de abril de 2017 09:19, Pedro B. Alves escreveu: > > > Em qui, 20 de abr de 2017 às 09:08, Francisco Junior < > francisco...@gmail.com> escreveu: > >> Bom dia! >> >> Acho melhor pagar, aconteceu isso melhor saída é pagar, depois melhora a >> segurança da banco e implanta politicas de backup. >> >> > > Até pode ser a melhor saída.. > > Mas não acredito que não tenha nenhuma forma de fazer voltar o banco pelo > PG??? > > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Em qui, 20 de abr de 2017 às 14:19, Pedro B. Alves escreveu: > Em qui, 20 de abr de 2017 às 09:08, Francisco Junior < > francisco...@gmail.com> escreveu: > >> Bom dia! >> >> Acho melhor pagar, aconteceu isso melhor saída é pagar, depois melhora a >> segurança da banco e implanta politicas de backup. >> >> > > Até pode ser a melhor saída.. > > Mas não acredito que não tenha nenhuma forma de fazer voltar o banco pelo > PG??? > Você não tem backups ? []s Flavio Gurgel ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Em qui, 20 de abr de 2017 às 09:08, Francisco Junior escreveu: > Bom dia! > > Acho melhor pagar, aconteceu isso melhor saída é pagar, depois melhora a > segurança da banco e implanta politicas de backup. > > Até pode ser a melhor saída.. Mas não acredito que não tenha nenhuma forma de fazer voltar o banco pelo PG??? ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Bom dia! Acho melhor pagar, aconteceu isso melhor saída é pagar, depois melhora a segurança da banco e implanta politicas de backup. 2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e > as tabelas do banco sumiram... > > tem somente uma tabela "warning" com os seguintes dados > > > "Send 0.5 BTC to this address and go to this site > http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be > available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" > ecnsupp...@mai2tor.com" > > > Alguém já viu isso?? > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
Tem acesso a internet!! Em qui, 20 de abr de 2017 às 09:02, Glauco Torres escreveu: > 2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > >> Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e >> as tabelas do banco sumiram... >> >> tem somente uma tabela "warning" com os seguintes dados >> >> >> "Send 0.5 BTC to this address and go to this site >> http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will >> be available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" >> ecnsupp...@mai2tor.com" >> >> >> Alguém já viu isso?? >> >> > Puts, já tinha visto compactar os datafiles agora apagar tudo e combrar > pelo dump é a primeira. > > Esse banco tem acesso direto a internet por ssh ou por alguma porta que da > acesso ao Postgres? > > - > Glauco Torres > > > > ___ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
Re: [pgbr-geral] PostgreSQL ataque???
2017-04-20 8:54 GMT-03:00 Pedro B. Alves : > Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e > as tabelas do banco sumiram... > > tem somente uma tabela "warning" com os seguintes dados > > > "Send 0.5 BTC to this address and go to this site > http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be > available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" > ecnsupp...@mai2tor.com" > > > Alguém já viu isso?? > > Puts, já tinha visto compactar os datafiles agora apagar tudo e combrar pelo dump é a primeira. Esse banco tem acesso direto a internet por ssh ou por alguma porta que da acesso ao Postgres? - Glauco Torres ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
[pgbr-geral] PostgreSQL ataque???
Pessoal alguém já passou por algo parecido, cheguei no escritório hoje e as tabelas do banco sumiram... tem somente uma tabela "warning" com os seguintes dados "Send 0.5 BTC to this address and go to this site http://ann2hzqgedo3plvu.onion/ to recover your database! SQL dump will be available after payment!";"1Djh8KTQFDjizvYMpdBQiNrLxiSg2gg86K";" ecnsupp...@mai2tor.com" Alguém já viu isso?? ___ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral