연구실에 있는 우분투 서버에 꽤 오랫동안 mongodb에 데이터를 모아 두었는데,
어제 새벽 5시 30분쯤에 미국에서 어떤 공격자가 (어떤 방법인지는 아직 모르지만) 관리자 권한을 얻어서 몽고디비(mongodb)에 기존에 있던 데이터베이스를 모두 drop하고, /data/db/hacked_by_unistellar 로 시작하는 파일들만 만들어 두었습니다.
몽고디비 로그에서 확인해 보니, 해커가 접속했던 아이피 주소가 brute force attacker로 보고되어 있네요 ㅠㅠㅠㅠ
일단 몽고디비 로그 상에서는 디스크 영역에 zerofill 같은 걸 한 것 같지는 않아요.
혹시 이런 식으로 drop을 하게 되면 단순한 삭제로 볼 수 있는 걸까요?
단순한 삭제라고 한다면 photorec 같은 도구를 써보려고 하거든요...
아니면 다른 방법이 혹시 있을까요?
/모바일 기기에서 작성 됨.