HyperDX自托管环境下用户数据自动删除问题分析

问题现象

在HyperDX自托管环境中，用户报告了一个奇怪的现象：新创建的用户账户会在30-60分钟后自动消失。具体表现为：

1. 登录界面右上角的"Setup account"按钮重新出现
2. MongoDB中的users集合在账户创建后不存在，但在修改偏好设置后会出现
3. teams集合同样为空，但创建新账户后会重新出现

根本原因分析

经过技术调查，发现这是由于MongoDB数据库被外部恶意扫描攻击导致的。当MongoDB端口(默认27017)暴露在外部网络上且未做适当安全防护时，互联网上的自动化扫描工具会探测到开放的MongoDB实例并执行删除操作。

技术背景

MongoDB默认安装时通常不启用认证机制，这使得未受保护的实例容易成为攻击目标。攻击者常用的手段包括：

1. 端口扫描发现开放的MongoDB实例
2. 连接后枚举数据库和集合
3. 删除或加密数据以勒索赎金

解决方案

要解决这个问题，需要从多个层面加强MongoDB的安全防护：

1. 网络隔离：

   • 确保MongoDB端口(27017)不直接暴露在外部网络
   • 使用Docker时，检查防火墙规则(iptables/ufw)是否正确配置
   • 只允许应用容器访问MongoDB服务

2. 认证配置：

   • 启用MongoDB的身份验证机制
   • 设置强密码的root用户
   • 为应用创建专用数据库用户并限制权限

3. Docker配置优化：

   • 使用Docker内部网络而非主机网络
   • 检查docker-compose.yml中MongoDB服务的网络配置
   • 考虑使用bind-mount持久化数据而非默认存储

实施建议

对于HyperDX自托管用户，建议采取以下具体措施：

1. 修改docker-compose.yml，确保MongoDB服务不映射主机端口
2. 设置MongoDB环境变量启用认证(MONGO_INITDB_ROOT_USERNAME/PASSWORD)
3. 检查服务器防火墙规则，确认27017端口未对外部开放
4. 考虑使用专用网络或SSH隧道访问管理界面而非直接暴露

预防措施

为防止类似问题再次发生，建议：

1. 定期备份MongoDB数据
2. 监控数据库异常操作
3. 保持HyperDX和MongoDB版本更新
4. 定期审查安全配置

通过以上措施，可以有效保护HyperDX自托管环境中的数据安全，避免用户账户被恶意删除的情况发生。