AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

MongoDB 勒索软件已波及上万数据库

  • 2017-01-08
  • 本文字数:1542 字

    阅读完需:约 5 分钟

无须身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。

攻击者利用配置存在疏漏的开源 MongoDB 数据库展开了一系列勒索行为。此番针对 MongoDB 的勒索行为最早是由 GDI Foundation 的安全研究人员 Victor Gevers 在 2016 年 12 月 27 日发现的,在这之后影响陆续扩大,目前至少有五个不同黑客组织控制了上万个数据库实例。

截至目前,最后一个加入此次MongoDB 勒索行动的黑客组织是由安全研究人员Nial Merrigan 在1 月6 日发现的。目前,MongoDB 攻击者的身份信息只有用于支付赎金的电子邮件地址,最新加入的黑客组织所用的邮件地址为3lix1r@mail2tor.com,该地址已攻陷至少17 个MongoDB 实例,要求受害者支付0.25 个比特币才能找回数据。

目前在Google Docs 上有一个列表,其中列出了参与此次攻击的黑客组织名单,具体数量还在增加中。攻击者所要求支付的金额各异,最低仅0.15 个比特币,但也有高达1 个比特币的赎金。2017 年至今,比特币的价值上下波动,截止1 月6 日,具体金额约等于892 美元。

此次针对MongoDB 的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。

很多MongoDB 数据库处于开放状态,这种情况早已存在。2015 年12 月,安全研究人员Chris Vickery 就曾使用Shodan 搜索工具找到了很多端口开放的MongoDB 服务器。当时Vickery 甚至找到了一个被Mac OS X 工具软件MacKeeper 的开发者Kromtech 使用的,配置存在疏漏的MongoDB 数据库。

Shodan 的创始人 John Matherly 跟进了 Vickery 的研究结果,并在 2015 年 12 月,当时互联网上共有至少35,000 个可公开访问,无须身份验证的MongoDB 实例,一年过去了,直到2017 年1 月,开放式MongoDB 数据库的数量不降反增,估计目前共有多达99,000 个数据库处于风险中。

作为应对此次MongoDB 安全隐患的有效措施,数据库管理员需要参考MongoDB 网站上提供的安全清单进行排查。首先需要“启用访问控制并强制进行身份验证”。

安全研究人员对eWEEK 表示,MongoDB 被攻击者进行勒索完全在意料之中。

“考虑到MongoDB 的流行度以及在生产环境中的普及率,以开源的数据库作为目标并不会让人惊讶。”Dome9 共同创始人兼首席执行官Zohar Alon 向eWEEK 说到:“通常来说,数据库部署过程中的配置疏漏和疏忽就会导致可被攻击者利用的弱点。”

Alon 还补充说,用户的人为错误与不够强的安全意识也会威胁到云环境中运行的工作负载。他建议在使用开源数据库等第三方软件之前,用户应该自学相关知识,掌握最佳实践和已知弱点等内容。

“有趣的是,大部分人认为数据库是足够安全的,因为可以受到防火墙和数据中心的保护,”Jean-François Dubé首席技术官 RiskVision 告诉 eWEEK:“问题在于攻击者依然可以通过消费者所用的端点和第三方连接访问这些服务器并获取信息。”

Dubé建议总的来说,应当定期对数据库进行风险评估。

“使用风险评估工具对数据库进行近乎实时监视的企业,会在加密后的数据离开数据库时更清楚地发现这一切,”他说。

Mimecast 公司网络安全战略师 Matthew Gardiner 评论说,此次 MongoDB 被攻击完全没有让他感到意外。

“一处开放的,无须身份验证的,存有宝贵数据的系统,或其他任何重要的系统,被互联网将规模放大上千倍后,最大的问题在于:攻击者为什么等到现在才开始下手?”Gardiner 说。

Sean Michael Kerner 是 eWEEK 和 InternetNews.com 的资深编辑,你可以在 Twitter 关注他:@TechJournalist。

查看英文原文 MongoDB Ransomware Impacts Over 10,000 Databases

2017-01-08 18:004826
用户头像

发布了 283 篇内容, 共 113.1 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

从0到1带你搭建一个vue3.0项目(vue-cli脚手架版)

言程序

前端 vue3.0 9月月更

一文带你全面了解什么是颠覆时代的Web3.0未来互联网

echeverra

Web3.0

一台“厉害”的打印机

华为云开发者联盟

云计算 后端 物联网 企业号九月金秋榜

【荣耀帐号服务】手把手教你快速Android应用接入

荣耀开发者服务平台

开发者 服务 安卓 应用 honor

N1盒子openwrt+dogcom实现大学校园网的自动登录开启路由

知识浅谈

9月月更

牛客网扫地僧开源出来的《Java面试无敌流笔记》,Github上线两天就爆火

Geek_0c76c3

Java 数据库 开源 程序员 架构

大数据开发培训周期和方法

小谷哥

ESP32-C3入门教程 网络 篇(三、 MQTT 协议基础介绍及测试)

矜辰所致

mqtt ESP32-C3 9月月更

幂等设计详解

京东科技开发者

数据库 系统架构 幂等 研发 幂等设计

Python基础(五) | 函数及面向过程编程详解

timerring

Python Monad 9月月更

谷歌也开始裁员!谷歌CEO说出理由让人惊叹

雨果

裁员 谷歌 互联网裁员

Java面试题大全(整理版)1000+面试题附答案详解最全面看完稳了

钟奕礼

Java 面试 java; Java 面试题

交付有价值的产品,先澄清用户故事吧!

敏捷开发

产品 项目管理 敏捷开发 软件开发 用户故事

Flowable 流程部署与删除

江南一点雨

Java springboot flowable

阿里云EMAS|App隐私合规“免费”自动化检测

移动研发平台EMAS

阿里云 移动测试 隐私合规 移动研发 App检测

太强了!阿里p8大佬干了半个月总结的《Alibaba分布式系统速成笔记》正式开源

Geek_0c76c3

Java 数据库 开源 程序员 架构

开发者有话说|我的前端开发感悟

言程序

个人成长

美团 3 面 (Java 后台):NIO+BIO+Zookeeper+ 线程池 +Redis+kafka

钟奕礼

Java 面试 java;

如何通过C#/VB.NET代码将Excel工作表拆分为单独的文件

在下毛毛雨

C# .net Excel 拆分

《DevOps工具链的国产化之道》直播报名开始啦!

嘉为蓝鲸

DevOps IT 工具链 研发

隐私计算唯一代表厂商!洞见科技入选《爱分析·数据智能厂商全景报告》

洞见科技

HMS Core上新啦!

HarmonyOS SDK

HMS Core

基于 Apache Hudi 极致查询优化的探索实践

华为云开发者联盟

大数据 后端 华为云 企业号九月金秋榜

java培训学习应该注意什么?

小谷哥

web前端培训机构怎么选择比较好呢

小谷哥

阿里顶配版 Spring 全家桶高级笔记+学习路线图+硬核资料库,跪着啃完了。。。

Geek_0c76c3

Java 数据库 开源 程序员 架构

100 行代码在微信公众号里集成地图搜索功能

汪子熙

html 微信 web开发 微信开发 9月月更

详解JS中 call 方法的实现

华为云开发者联盟

Java 前端 企业号九月金秋榜

开发者有话说|我的前端开发感悟

言程序

个人成长 程序人生

深圳大数据培训哪家教的好

小谷哥

前端线下培训学习适合哪些人群

小谷哥

MongoDB勒索软件已波及上万数据库_数据库_Sean Michael Kerner_InfoQ精选文章