MongoDB是一种文档导向数据库管理系统,由C++撰写而成,以此来解决应用程序开发社区中的大量现实问题。可以从开放源代码来建构与安装,因其可伸缩性、高性能和高可用性而流行,是一款流行的可选开源数据库。即使针对非常复杂的体系结构,它仍是一种有效的解决方案。此外, MongoDB利用内存中计算来提高性能。
2015年,著名安全专家兼Shodan搜索引擎的创建者John Matherly发现,超过650TB的MongoDB数据。因为管理员使用的是旧版本的MongoDB,而这些旧版本无法绑定到本地主机,大量的数据被暴露在互联网上。许多机构都在使用MongoDB数据库,意味着将近40000个使用MongoDB的企业都暴露在黑客攻击的风险之中。
数据库配置不当(错误的安全习惯),让所有的远程攻击者不使用任何特殊的黑客工具,也不需要任何形式的认证,就能访问的MongoDB数据库。数据库中暴露的信息,数据记录包括姓名、电子邮件地址、出生日期、邮政地址、私人信息和不安全的密码散列值。
后来的MongoDB通过设置在配置默认情况下不受限制的远程访问,解决了其软件的下一个版本的问题,但数千名网站管理员还没有更新他们的服务器呢。
请相信我,现在他们一定后悔了!
现在,黑客劫持了不安全的MongoDB数据库,并持有那些数据库的副本,要求管理员交纳0.2比特币的赎金(约211美金)找回丢失数据。因此,没有备份的管理员陷入了困境。
事实上,比特币的价格不断上涨,勒索比特币的有利可图,带来了一些麻烦。截至昨日1比特币= USD1063.93。1月5日凌晨,根据中国比特币交易平台火币网数据显示,当前中国比特币价格突破历史高位8000元,目前最高价8449元,更是创下新的历史纪录。
安全研究员兼GDI维克多基金会的共同创办人GEVERS发现,黑客通过Twitter的攻击,并通知已经暴露的不受密码保护的MongoDB用户。
GEVERS确定了安装MongoDB被擦除数据并勒索赎金已经有近200个实例,截至昨日下午4点约2000个数据库受影响。Matherly还说,“撒旦”搜索引擎那里,还有很多暴露的MongoDB数据库可以发现。
这些攻击已经持续了一个多星期,目标服务器遍布世界各地。据说,并不是对数据进行加密,而是使用名称为 “harak1r1”来攻击,攻击者的勒索信的脚本内容取代了数据库。
当访问开放的一台服务器,Gevers发现代替数据库内容的只有一个表,被命名为“警告”,其内容为:
"SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
大意为:发送0.2个比特币,到13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq这个地址,联系电子邮件并附上您的服务器恢复数据库的IP!”
目前已有16个受害方组织已经支付赎金给攻击者。Matherly一直警告的危险暴露MongoDB的安装,Matherly观察到,大多数受影响的数据库都托管在Amazon.com、阿里巴巴集团和DigitalOcean运营的云计算平台上。不幸的是,很多其他脆弱的数据库暴露在互联网上,这其中包括Redis、CouchDB、Cassandra和Riak,这一点经过了Matherly的证实。
“最后,我必须强调数据库暴露这个问题,并不是唯一存在MongoDB上,其实这种不当的配置问题同样存在于Redis、CouchDB、Cassandra和Riak上。” Matherly解释道。
如何知道你是否已经被黑客攻击?
●检查MongoDB的账目,看是否添加一个秘密的管理员。
●检查GridFS,是否有人存放任何文件。
●检查日志文件,看谁访问了MongoDB。
如何保护自己?
● 启用身份验证。为您提供纵深防御,如果您的网络受到影响。编辑您的MongoDB FILE- AUTH = TRUE。
● 使用防火墙。禁用的MongoDB的远程访问,如果可能的话。管理员应使用防火墙,通过阻止访问端口号来保护MongoDB的安装。
● 配置Bind ip。通过结合本地IP地址限制对服务器的访问。
● 升级。强烈建议管理员升级他们的软件到最新版本。
MongoDB是以纽约时报和LinkedIn的公司所使用的最流行的开源的NoSQL数据库,所以鼓励管理员遵循由该公司提供的安全核对表,减少因资源的不合理配置造成的数据泄露和勒索事件的发生。
点击阅读原文查看更多