大批MongoDB因配置漏洞被攻擊,資料被刪

2022-09-24 04:57:08 字數 2063 閱讀 9969

大批mongodb因配置漏洞被攻擊,資料被刪,無需身份驗證的開放式 mongodb 資料庫例項正在遭受多個黑客組織的攻擊,被攻破的資料庫內容會被加密,受害者必須支付贖金才能找回自己的資料。

攻擊者利用配置存在疏漏的開源 mongodb 資料庫展開了一系列勒索行為。此番針對 mongodb 的勒索行為最早是由 gdi foundation 的安全研究人員 victor gevers 在 2016 年 12 月 27 日發現的,在這之後影響陸續擴大,目前至少有五個不同黑客組織控制了上萬個資料庫例項。

截至目前,最後乙個加入此次 mongodb 勒索行動的黑客組織是由安全研究人員 nial merrigan 在 1 月 6 日發現的。目前,mongodb 攻擊者的身份資訊只有用於支付贖金的電子郵件位址,最新加入的黑客組織所用的郵件位址為 [email protected],該位址已攻陷至少 17 個 mongodb 例項,要求受害者支付 0.25 個位元幣才能找回資料。

目前在 google docs 上有乙個列表,其中列出了參與此次攻擊的黑客組織名單,具體數量還在增加中。攻擊者所要求支付的金額各異,最低僅 0.15 個位元幣,但也有高達 1 個位元幣的贖金。2017 年至今,位元幣的價值上下波動,截止 1 月 6 日,具體金額約等於 892 美元。

此次針對 mongodb 的攻擊非常簡單,利用了配置有誤且可公開訪問的資料庫,無須具備相應的管理員憑據即可展開攻擊。一旦攻擊者登入到開放的資料庫,隨後會全面奪取控制權並竊取或加密資料庫,被勒索的受害者必須支付贖金才能找回自己的資料。

很多 mongodb 資料庫處於開放狀態,這種情況早已存在。2015 年 12 月,安全研究人員 chris vickery 就曾使用 shodan 搜尋工具找到了很多埠開放的 mongodb 伺服器。當時 vickery 甚至找到了乙個被 mac os x 工具軟體 mackeeper 的開發者 kromtech 使用的,配置存在疏漏的 mongodb 資料庫。

shodan 的創始人 john matherly 跟進了 vickery 的研究結果,並在 2015 年 12 月稱,當時網際網路上共有至少 35,000 個可公開訪問,無須身份驗證的 mongodb 例項,一年過去了,直到 2017 年 1 月,開放式 mongodb 資料庫的數量不降反增,估計目前共有多達 99,000 個資料庫處於風險中。

作為應對此次 mongodb 安全隱患的有效措施,資料庫管理員需要參考 mongodb **上提供的安全清單進行排查。首先需要「啟用訪問控制並強制進行身份驗證」。

安全研究人員對 eweek 表示,mongodb 被攻擊者進行勒索完全在意料之中。

「考慮到 mongodb 的流行度以及在生產環境中的普及率,以開源的資料庫作為目標並不會讓人驚訝。」 dome9 共同創始人兼首席執行官 zohar alon 向 eweek 說到:「通常來說,資料庫部署過程中的配置疏漏和疏忽就會導致可被攻擊者利用的弱點。」

alon 還補充說,使用者的人為錯誤與不夠強的安全意識也會威脅到雲環境中執行的工作負載。他建議在使用開源資料庫等第三方軟體之前,使用者應該自學相關知識,掌握最佳實踐和已知弱點等內容。

「有趣的是,大部分人認為資料庫是足夠安全的,因為可以受到防火牆和資料中心的保護,」 jean-françois dubé 首席技術官 riskvision 告訴 eweek :「問題在於攻擊者依然可以通過消費者所用的端點和第三方連線訪問這些伺服器並獲取資訊。」

dubé 建議總的來說,應當定期對資料庫進行風險評估。

「使用風險評估工具對資料庫進行近乎實時監視的企業,會在加密後的資料離開資料庫時更清楚地發現這一切,」他說。

mimecast 公司網路安全戰略師 matthew gardiner 評論說,此次 mongodb 被攻擊完全沒有讓他感到意外。

「一處開放的,無須身份驗證的,存有寶貴資料的系統,或其他任何重要的系統,被網際網路將規模放大上千倍後,最大的問題在於:攻擊者為什麼等到現在才開始下手?」gardiner 說。

雲棲社群上有人給出了簡單的解決方案,建議所有使用者立即處理:

不論你有沒有中招,有沒有在公網,都要配置鑑權,亡羊補牢,避免更多的損失;

關閉公網的訪問入口,把門關上;

碰碰運氣,看看資料表是不是只是被 rename 了,因為資料 dump 是有時間成本和儲存成本的,有監控資料的可以對比下看看容量有沒有變化。

MongoDB被攻擊 開啟Mongo許可權

就在剛剛。開啟我的 的時候,發現對資料庫的請求都失敗了 我的天都報500了,又是什麼bug?排查到資料庫的時候,開啟robo 3t,發現資料庫沒有了,驚呆?很明顯被刪掉了 納悶?別人怎麼知道我密碼,怎麼刪掉的?在網上查了之後,知道是因為資料庫沒有新增許可權 自己試一試 居然真的直接登上來了 既然直接...

Google遭攻擊的漏洞被微軟通報

1月15日,微軟向所有mapp夥伴通報了近期google遭攻擊的漏洞,該漏洞主要針對主流版本的ie瀏覽器,該漏洞已經被黑客用於掛馬,可以遠端執行黑客的任意命令,如果使用者訪問了掛馬頁面,就會立即感染盜號木馬 蠕蟲 器等惡意病毒,導致電腦被入侵,個人資訊丟失。作為國內首家加入微軟mapp計畫的安全合作...

Word一漏洞被用來實施「魚叉式釣魚」攻擊

據國外 報道,在安全公司爆出微軟word軟體中的乙個安全漏洞被黑客利用來實施令人恐懼的 魚叉式釣魚 攻擊後,微軟公司日前表示將緊急推出乙個補丁,微軟還建議使用者暫時在安全模式下使用word。微軟的月度補丁發布日是6月13日。不過,在聽聞這個令人震驚的訊息後,微軟已經決定緊急發布了乙個補丁,專門修補發...