回归最本质的信息安全

MongoDB数据库遭劫,已有16个组织支付赎金

2017年1月6日发布

7,271
5
0

导语:黑客劫持了不安全的MongoDB数据库。他们将数据清除,同时保留数据副本,威胁管理员支付0.2BTC(时价约为200美元)的赎金方肯归还数据。

1483599142179254.png

MongoDB是一个高性能,开源,无模式的文档型数据库,是当前NoSql数据库中比较热门的一种。

在两年之前,我们通过互联网警告用户全网MongoDB数据库泄露数据量高达595.2TB,其中原因多是为MongoDB版本过于老旧或是没有设置身份验证,导致网站和服务器均有被攻击的可能。

MongoDB在最新版本中通过在默认情况下设置无限制的远程访问解决了这个问题,不过数千个站点管理员尚未更新其服务器。

黑客采用清除数据勒索赎金

黑客劫持了不安全的MongoDB数据库。他们将数据清除,同时保留数据副本,威胁管理员支付0.2BTC(时价约为200美元)的赎金方肯归还数据。

安全专家Victor Gevers已经发现将近200个MongoDB数据被盗取从而进行勒索的实例。据Shodan创始人John Matherly指出,泄露的MongoDB数据库数量在下午4:00时已达到2000个。

攻击已经进行了一个多星期,受害服务器来自全球各地。当访问开放的服务器时,Gevers看到的不是数据库,这里只有一张命名为“warning”的表,内容为

{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }

已有16个受害者支付了赎金

截止目前已有16个组织向攻击者支付了赎金。早在2015年Matherly 已经警告过MongoDB数据库的风险,在没有任何形式的验证下允许攻击者远程进入数据库。Matherly说,被泄露的这些MongoD数据库大部分都是部署在云端服务器上,比如Amazon, Digital Ocean, Linode等。

如何知道自己是否被黑?

1. 检查MongoDB账户,确认是否有人添加了管理员用户
2. 检查GridFS(一种将大型文件存储在MongoDB的文件规范)查看是否有人在那里存储文件。
3. 检查日志,了解哪些人访问了MongoDB数据库

保护措施

1. 启用身份验证:如果网络遭到入侵,身份验证可以提供“深度防御”。 编辑MongoDB配置文件“- auth = true。”
2. 使用防火墙:如果可以,请禁止远程访问MongoDB。建议管理员使用防火墙通过对27017端口的禁止访问保护MongoDB
3. 配置Bind_ip:通过绑定本地IP地址限制对服务器的访问。
4. 升级:强烈建议将软件升级至最新版本。
本文翻译于thehackernews,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/2785.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

biubiu

biubiu

这个人很懒,什么也没留下

发私信

发表评论

    柯达不爱甜
    柯达不爱甜 2017-01-10 14:55

    记得某天在一个QQ群,看到某网管说公司的MongoDB因为没设置身份验证被黑,然后那个网管被罚了钱。。

    沙拉拉卡
    沙拉拉卡 2017-01-06 17:50

    看起来有点恐怖啊

    天海 春香
    天海 春香 2017-01-06 11:53

    看到Amazon, Digital Ocean, Linode这些云服务商总会想到一些拆墙的线路