MongoDB資料庫遭劫 已有16個組織支付贖金

MongoDB是一個高性能，開源，無模式的文檔型資料庫，是當前NoSql資料庫中比較熱門的一種。

在兩年之前，我們通過互聯網警告用戶全網MongoDB資料庫泄露數據量高達595.2TB，其中原因多是為MongoDB版本過於老舊或是沒有設置身份驗證，導致網站和伺服器均有被攻擊的可能。

MongoDB在最新版本中通過在默認情況下設置無限制的遠程訪問解決了這個問題，不過數千個站點管理員尚未更新其伺服器。

黑客採用清除數據勒索贖金

黑客劫持了不安全的MongoDB資料庫。他們將數據清除，同時保留數據副本，威脅管理員支付0.2BTC（時價約為200美元）的贖金方肯歸還數據。

安全專家Victor Gevers已經發現將近200個MongoDB數據被盜取從而進行勒索的實例。據Shodan創始人John Matherly指出，泄露的MongoDB資料庫數量在下午4:00時已達到2000個。

攻擊已經進行了一個多星期，受害伺服器來自全球各地。當訪問開放的伺服器時，Gevers看到的不是資料庫，這裡只有一張命名為「warning」的表，內容為

{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }n

已有16個受害者支付了贖金

截止目前已有16個組織向攻擊者支付了贖金。早在2015年Matherly 已經警告過MongoDB資料庫的風險，在沒有任何形式的驗證下允許攻擊者遠程進入資料庫。Matherly說，被泄露的這些MongoD資料庫大部分都是部署在雲端伺服器上，比如Amazon, Digital Ocean, Linode等。

如何知道自己是否被黑？

1. 檢查MongoDB賬戶，確認是否有人添加了管理員用戶n2. 檢查GridFS（一種將大型文件存儲在MongoDB的文件規範）查看是否有人在那裡存儲文件。n3. 檢查日誌，了解哪些人訪問了MongoDB資料庫n

保護措施

1. 啟用身份驗證：如果網路遭到入侵，身份驗證可以提供「深度防禦」。 編輯MongoDB配置文件「- auth = true。」n2. 使用防火牆：如果可以，請禁止遠程訪問MongoDB。建議管理員使用防火牆通過對27017埠的禁止訪問保護MongoDBn3. 配置Bind_ip：通過綁定本地IP地址限制對伺服器的訪問。n4. 升級：強烈建議將軟體升級至最新版本。n

註：本文參考來源於thehackernews

推薦閱讀：