大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金

Posted 黑客技术与网络安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金相关的知识,希望对你有一定的参考价值。

整理自:腾讯云、开源中国、聊聊架构、IT168等媒体


近日发生了大规模MongoDB因为配置漏洞导致其被黑客入侵的事件,给用户造成极大安全隐患和经济损失。



大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金

事件描述

大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金

造成本次黑客大规模攻击的核心原因是MongoDB一直存在的未授权访问问题(登录不需要用户名和密码认证)。


用户在使用 MongoDB 时,将服务直接开放在了公网上,并且直接采用了默认配置,而默认配置并没有开启鉴权访问[未设置账号密码],从而导致这个数据库谁都可以访问,于是便发生了此次大批量MongoDB被黑客劫持入侵的事件,黑客将用户数据备份然后删除,以此来威胁企业缴纳赎金


总结起来:此次针对MongoDB的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。

大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金

解决方案


MongoDB官网公告表示:这些入侵完全可以通过开源产品内置的安全机制防御。


云栖社区上有人给出了简单的解决方案,建议所有用户立即处理:

  • 不论你有没有中招,有没有在公网,都要配置鉴权,亡羊补牢,避免更多的损失;

  • 关闭公网的访问入口,把门关上;

  • 碰碰运气,看看数据表是不是只是被 rename 了,因为数据 dump 是有时间成本和存储成本的,有监控数据的可以对比下看看容量有没有变化。


手动排查险情:

  • 1.    检查MongDB帐户以查看是否有人添加了密码(admin)用户(使用db.system.users.find()命令);

  • 2.    检查GridFS以查看是否有人存储任何文件(使用db.fs.files.find()命令);

  • 3.    检查日志文件以查看谁访问了MongoDB(show log global命令)。


更多MongoDB安全配置可参考官方文档:https://docs.mongodb.com/manual/administration/security-checklist/



●本文编号281,以后想阅读这篇文章直接输入281即可。

●输入m可以获取到文章目录。

相关推荐↓↓↓
 

Linux学习

推荐

涵盖:程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、ios开发、C/C++、.NET、Linux、数据库、运维等。

以上是关于大批MongoDB因配置漏洞被攻击,黑客删除数据并勒索赎金的主要内容,如果未能解决你的问题,请参考以下文章

UDB MongoDB 0day 零漏洞,让人放心的 UCloud NoSQL服务

springBoot-mongodb

Springboot中mongodb的使用

spring bootMongoDB的使用

避免 MongoDB 被勒索详解,腾讯云上更安全

这家公司因Log4j漏洞惨遭黑客攻击并勒索500万美元