大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金
Posted 黑客技术与网络安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金相关的知识,希望对你有一定的参考价值。
整理自:腾讯云、开源中国、聊聊架构、IT168等媒体
近日发生了大规模MongoDB因为配置漏洞导致其被黑客入侵的事件,给用户造成极大安全隐患和经济损失。
事件描述
造成本次黑客大规模攻击的核心原因是MongoDB一直存在的未授权访问问题(登录不需要用户名和密码认证)。
用户在使用 MongoDB 时,将服务直接开放在了公网上,并且直接采用了默认配置,而默认配置并没有开启鉴权访问[未设置账号密码],从而导致这个数据库谁都可以访问,于是便发生了此次大批量MongoDB被黑客劫持入侵的事件,黑客将用户数据备份然后删除,以此来威胁企业缴纳赎金。
总结起来:此次针对MongoDB的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。
解决方案
MongoDB官网公告表示:这些入侵完全可以通过开源产品内置的安全机制防御。
云栖社区上有人给出了简单的解决方案,建议所有用户立即处理:
不论你有没有中招,有没有在公网,都要配置鉴权,亡羊补牢,避免更多的损失;
关闭公网的访问入口,把门关上;
碰碰运气,看看数据表是不是只是被 rename 了,因为数据 dump 是有时间成本和存储成本的,有监控数据的可以对比下看看容量有没有变化。
手动排查险情:
1. 检查MongDB帐户以查看是否有人添加了密码(admin)用户(使用db.system.users.find()命令);
2. 检查GridFS以查看是否有人存储任何文件(使用db.fs.files.find()命令);
3. 检查日志文件以查看谁访问了MongoDB(show log global命令)。
更多MongoDB安全配置可参考官方文档:https://docs.mongodb.com/manual/administration/security-checklist/
●本文编号281,以后想阅读这篇文章直接输入281即可。
●输入m可以获取到文章目录。
Linux学习
推荐《》
涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、ios开发、C/C++、.NET、Linux、数据库、运维等。
以上是关于大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金的主要内容,如果未能解决你的问题,请参考以下文章