好幾天沒上后臺了，今天無意中登錄了一下，登不上去。
也沒在意，去后臺重啟了一下服務，還是登不上。
mongo遠程連不上。
這時意識到問題比較大，開SSL 連服務器，進數據庫，檢查表

所！有！的！表！都！不！見！了！

所！有！的！用 !戶！都！被！刪！了！

當時的表情和王尼瑪一摸一樣

剛開始以為是自己誤操作，連忙打開log文件一看究竟，一條一條排查...逐個看登錄IP，都是自己的...沒有問題。等著！怎么出現一條法國IP？
就這個94.23.196.208:49142
服務器記錄如下：

2017-11-17T18:48:15.257+0800 I NETWORK  [conn2522] received client metadata from 
94.23.196.208:49142 conn2522: { driver: { name: "PyMongo", version: "3.5.1" }, 
os: { type: "Linux", name: "Linux", architecture: "x86_64", version: "3.10.0-514.26.2.el7.x86_64" },
 platform: "CPython 3.5.2.final.0" }

我知道，中招了，因為我從來沒用過裝有python的linux主機登錄過后臺

往下拉，看到了有意思的

2017-11-26T03:27:09.198+0800 I COMMAND  [conn5655] dropDatabase admin starting
2017-11-26T03:27:09.277+0800 I COMMAND  [conn5655] dropDatabase admin finished
2017-11-26T03:27:09.277+0800 I COMMAND  [conn5655] setting featureCompatibilityVersion to 3.2
2017-11-26T03:27:09.552+0800 I COMMAND  [conn5656] dropDatabase *** starting
2017-11-26T03:27:09.640+0800 I COMMAND  [conn5656] dropDatabase *** finished
2017-11-26T03:27:09.913+0800 I COMMAND  [conn5657] dropDatabase *** starting
2017-11-26T03:27:09.918+0800 I COMMAND  [conn5657] dropDatabase *** finished
2017-11-26T03:27:10.183+0800 I COMMAND  [conn5658] dropDatabase *** starting
2017-11-26T03:27:10.191+0800 I COMMAND  [conn5658] dropDatabase *** finished

一連上就瘋狂的刪庫

再往下：

BitCoin: "1EPA6qXtthvmp5kU82q8zTNkFfvUknsShS", eMail: "cru3lty@safe-mail.net", 
Exchange: "https://localbitcoins.com", Solution: "Your DataBase is downloaded and backed up on our secured servers. 
To recover your lost data: Send 0.2 BTC to our BitCoin Address and Contact us by eMa..." } ], 
ordered: true } 

是的，勒索0.2比特幣...
nnd前兩天還看到新聞有木馬drop數據庫勒索比特幣...這段話里的Your DataBase is downloaded and backed up on our secured servers根本是假的，后臺記錄顯示他一連上就開始瘋狂刪庫，根本就沒有備份，大家不要上當！不要充值！

想起來前兩天遠程調試嫌麻煩，就把mongo的遠程連接功能打開了，并且還去掉了安全校驗...，當時做完后，忘了關閉遠程連接，也忘了打開安全校驗.......太太太太太 ~~~~~大意了！

給大家提個醒吧，數據庫這個事一定不能大意，不要以為你的網站訪問量低就沒事，現在很多軟件掃端口分分鐘搞死你。不然他為何用python