MongoDB数据库再遭入侵,攻击者索要赎金返还数据
发布日期:
2017-01-09
来源:
easyaq
转载地址:
https://www.easyaq.com/newsdetail/id/2022401296.shtml

神秘黑客入侵了未经保护的MongoDB数据库,盗取了数据库内容,并索要赎金作为返还数据的筹码。
        GDI Foundation公司(保护互联网安全的非盈利组织)的联合创始人Victor Gevers警告MongoDB安装程序的安全性能差。Gevers发现攻击者清除了MongoDB 196个实例,并以此索要赎金。黑客“Harak1r1”(网名)目前要求对方支付0.2比特币(大概200美元)还原安装。攻击者还要求系统管理员通过电子邮件证明安装的所有权。
        如此看来,这名黑客的目标是MongoDB安装包,他可能使用Shodan这类搜索引擎寻找目标。
        2016年12月27日,Gevers发现不需要验证,就可通过互联网访问某个MongoDB服务器。
        bleepingcomputer.com发表博文称,“这与Gevers过去发现的其它情况不同。当他访问这个开放的服务器时,Gevers只表现一个名为“警告”的表,而不是许多表”。 攻击者访问了这个开放的MongoDB数据库,输出内容,并用包含下方代码的表替换了所有数据:
        { "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }
        Gevers向BleepingComputer透露, “我能够证实,因为日志文件清楚显示首次输出的时间,然后攻击者通过名为 “警告”的表创建了新的数据库。数据库服务器记录下了一举一动。”
        Gevers通知了受害者:
        他向受害者发送了一封通知信:“犯罪分子常常针对公开数据库部署活动,如窃取数据/索要赎金。但我们还发现,攻击者利用这类开放服务器托管恶意软件(例如勒索软件)、僵尸网络,并在GridFS中隐藏文件。”

        通过Google查询这名黑客的电子邮件地址和比特币地址发现,可能还有许多其它受害者。Gevers建议捆绑本地IP阻止访问端口27017,或限制访问该服务器,以保护MongoDB安装。MongoDB管理员还能通过“–auth”重启数据库。以下为MongoDB 管理员提供的其它有用建议:
       1)检查MongDB账号,查看是否有人添加秘密用户(管理员)。
       2)检查GridFS,查看是否有人在此任何文件。
       3)检查日志文件,查看谁访问了MongoDB(显示日志全局命令)。
        2015年12月,Gevers和Shodan创始人John Matherly发现,超过650TB的MongoDB数据因脆弱的数据库被暴露在互联网上。
        此外,研究人员Chris Vickery也发现开放的MongoDB暴露在互联网上。2015年12月,Vickery在网上发现错误配置的MongoDB数据库暴露了1.91亿条美国选民的记录。2016年4月,他还发现,132GB的MongoDB数据库暴露在网上,其中包含9340万墨西哥选民记录。2016年3月,Vickery在互联网上发现Kinoptic iOS应用程序数据库被弃用,其中包含超过1908万用户的数据。