广州xx策划公司MongoDB恢复-2023.09.09

2023.09.08用户的MongoDB数据库被勒索病毒攻击，数据全部被清空。

---

提示：

mongoDB的默认端口为27017，黑客通常通过全网段扫描27017是否开放判断是否是MongoDB服务器。一旦发现27017开放，黑客就会用空密码、弱密码尝试连接数据库。黑客登录数据库后，会删除所有数据，然后新建一个勒索信息的集合，里面写了黑客的收款方式。

注意：

黑客并没有帮用户备份数据库，因此用户按黑客要求支持赎金后，也是拿不到数据的。

删库勒索跟加密勒索有本质区别，用户数据通常很大，黑客几乎不可能通过外网传输用户的全部数据，而且如此大流量的数据传输，100%会暴露黑客地址，从而给黑客带来巨大风险。所以从来没有哪个黑客会帮用户远程备份数据。

---

2023.09.09下午用户联系数寻信息，寻求数据恢复服务，工程师分析后判断可以恢复数据，之后双方达成恢复协议，我们立即安排工程师进行数据恢复。

按工作量是3个工作日完成恢复，但用户非常紧急，我们决定紧急加班恢复，争取周末就为用户恢复业务。

技术方案：

针对MonogoDB的恢复方案有很多，包括：

方案一：使用wt工具对数据进行打捞
要求有WT文件，且结构完好，这时可以用bsondump提取json:

bsondump xxx.wt

生成的bson文件可用mongorestore导入到mongodb中:

mongorestore --host  --port  --db= --collection=

方案二：采用DU_MongoDB_Restore系列工具做BSON碎片抽取，此工具可以直接从磁盘中提取出所有bson碎片。
首先在linux下提取到所有bson碎片：

DU_MongoDB_Restore_Linux -s [source_dev] -d [out_bson_file]

然后在windows平台将提取到的bson文件转化为json:
生成的bson文件即可用mongorestore导入到mongodb中:

mongorestore --host  --port  --db= --collection=

在本案例中，WT文件已经被删除，且无法恢复，因此只能采用方案二作BSON碎片提取。
最终我们提取出大量json碎片，并转化为json文件，交付给用户验收：

经过工程师加班紧急支持恢复，在次日（9月10日，周日）上午10:55完成恢复，通知了用户进行远程数据验收。