如何避免黑客入侵 MongoDB？

Posted 2021-05-01 阿里云

近日，境外勒索集团黑客大规模利用企业使用MongoDB 开源版时的配置疏漏进行入侵，给自建MongoDB 数据库服务的企业造成不小的安全隐患。

阿里云官方网站第一时间发布公告《MongoDB数据库未授权访问漏洞及加固》给出相应修复建议。同时，立即通过邮件、站内信和短信进一步提醒。

问题出在哪里？

阿里云安全团队发现，受害用户都有一个共同的特征：所有被入侵的MongoDB数据库均可以在任何网络环境，不使用账号直接登录。

再说得更通俗一点，这就是把家门全部敞开，没有任何安全防护措施，业务直接裸奔在互联网上，黑客可以来去自如，用低成本的方式做任何想做的事情，包括数据库删除这样的高危操作等。

如何解决？

阿里云为所有用户提供了两个选择。

选择一

MongoDB官网公告表示：这些入侵完全可以通过开源产品内置的安全机制防御。

针对在ECS上通过MongoDB开源版自建数据库的企业，阿里云建议相关管理员登录云盾控制台，使用云盾安骑士MongoDB检测是否存在此安全问题。

当然，也可以手动排查险情：

1.    检查MongDB帐户以查看是否有人添加了密码（admin）用户(使用db.system.users.find()命令)；

2.    检查GridFS以查看是否有人存储任何文件(使用db.fs.files.find()命令)；

3.    检查日志文件以查看谁访问了MongoDB（show log global命令）。

此外，还可以选用阿里云安全管家服务，让安全专家跟进。

选择二

以更低的成本解决问题（包括学习、开发、运维等成本），可以购买阿里云的MongoDB云数据库服务。

阿里云版MongoDB从设计之初就重点考虑了安全问题。比如，这次的勒索事件，就完全不受影响。

阿里云版MongoDB的优势包含但不限于：

1. 基于MongoDB 3.2兼容版本的解决方案，并且强制要求鉴权。针对php类业务短连接场景特殊优化鉴权路径，性能提升10倍；

2. 提供增量备份，恢复的能力，哪怕数据被误操作丢失，也可以根据时间点来恢复到任意时刻；

3. 提供操作审计记录，数据删除，修改，索引创建删除，操作来源，操作口令一清二楚；

4. 提供白名单功能，提供VPC环境部署；

目前，MongoDB 阿里云版已经在各个领域广泛应用，比如游戏、物流、电商、内容管理、社交、物联网、视频直播等。

更多MongoDB阿里云版内容点击左下方阅读原文