解码和恢复/dev/md3中的文件(Hacked )

Question

我没有暴露的MongoDB已经黑进了赎金，我存储在/home/mongo/store上的文件被删除了，我使用了最重要的，ext4magic，extundelete，什么都没有发生，在同一台服务器上的备份也被删除了.我只有一个月初的备份，我不可能向我的客户宣布这一点。

我尝试了我的最后一个解决方案，cat /dev/md3 ( -> /home)，我的数据部分编码显示为屏幕截图

你知道如何解密编码的值吗？

谢谢你救我。

Answer 1

我只有一个月初的备份，我不可能向我的客户宣布这一点。

不幸的是，这是你必须做的。绝对要对客户和用户诚实，告诉他们发生了什么，丢失了什么数据。掩盖这一点将造成比事件本身更多的声誉损害。

在妥协之前，系统应该从一个州重建。有关这方面的规范建议以及更多信息，请参见：如何处理受威胁的服务器？

这是关于备份的一个非常昂贵的教训。如果一个月大的RPO是不可接受的，请做更频繁的脱机备份。