文章由悬镜小编翻译,转载请标注来源http://www.xmirror.cn/,独家报道。
GDI基金会的共同创始人Victor Gevers是在野外警告MongoDB安装的安全性差。 安全专家已经发现了196个MongoDB实例,它们被欺骗者擦除并被赎金。一个通过在线昵称Harak1r1访问的黑客要求0.2 BTC,在当前交换中大约为200美元,以便恢复安装。 骗子还要求系统管理员通过电子邮件演示安装的所有权。
似乎看起来黑客正在关注开放的MongoDB安装,可能使用像Shodan这样的搜索引擎。
在12月27日,Gevers发现了一个MongoDB服务器,无需通过互联网进行身份验证即可访问。
“这个不像他在过去发现的情况一样。当他访问打开的服务器,而不是查看数据库的内容,表的集合,Gevers只找到一个名为“WARNING”的表。 “读取在bleepingcomputer.com上发布的博客帖子。
攻击者访问打开的MongoDB数据库,导出其内容,并用包含以下代码的表替换所有数据:
{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }
“我能够确认[this],因为日志文件清楚地显示,它首先导出的日期,然后新的数据库与tablename警告创建,”Gevers告诉BleepingComputer。 “正在记录数据库服务器中的每个操作。
专家通知受害者他们的数据库被黑客:
“犯罪分子通常面向开放数据库来部署他们的活动,如数据窃取/赎金。 但我们也看到,像这样的开放式服务器用于托管恶意软件(如勒索软件),僵尸网络和在GridFS中隐藏文件,“他在发给受害者的通知信中写道。
查询Google的黑客电子邮件地址和比特币地址,可以验证许多其他用户是同一攻击者的受害者.Gevers建议阻止访问端口27017或限制访问服务器通过绑定本地IP为了保护MongoDB 安装。
MongoDB管理员也可以重新启动数据库与“-auth”选项后,他们已经分配用户访问。
下面的其他提示对MongoDB管理员有用:
检查MongDB帐户以查看是否没有人添加了密码(admin)用户。
检查GridFS以查看是否有人存储任何文件。
检查日志文件以查看谁访问了MongoDB(show log global命令)。
2015年12月,流行专家和Shodan创作者John Matherly发现了通过脆弱的数据库在互联网上暴露了超过650太字节的MongoDB数据。
研究人员克里斯·维克里(Chris Vickery)发现互联网上暴露的开放MongoDB的其他骇人听闻的案例。
2015年12月,安全专家克里斯·维克里发现在线的美国选民的1.91亿条记录,在2016年4月,他还发现了一个132 GB的MongoDB数据库在线打开,包含9340万墨西哥选民记录。
2016年3月,克里斯维克里发现在线数据库 的Kinoptic iOS应用程序,这是开发人员抛弃的,有超过198,000个用户的细节。