AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

MongoDB 勒索软件已波及上万数据库

  • 2017-01-08
  • 本文字数:1542 字

    阅读完需:约 5 分钟

无须身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。

攻击者利用配置存在疏漏的开源 MongoDB 数据库展开了一系列勒索行为。此番针对 MongoDB 的勒索行为最早是由 GDI Foundation 的安全研究人员 Victor Gevers 在 2016 年 12 月 27 日发现的,在这之后影响陆续扩大,目前至少有五个不同黑客组织控制了上万个数据库实例。

截至目前,最后一个加入此次MongoDB 勒索行动的黑客组织是由安全研究人员Nial Merrigan 在1 月6 日发现的。目前,MongoDB 攻击者的身份信息只有用于支付赎金的电子邮件地址,最新加入的黑客组织所用的邮件地址为3lix1r@mail2tor.com,该地址已攻陷至少17 个MongoDB 实例,要求受害者支付0.25 个比特币才能找回数据。

目前在Google Docs 上有一个列表,其中列出了参与此次攻击的黑客组织名单,具体数量还在增加中。攻击者所要求支付的金额各异,最低仅0.15 个比特币,但也有高达1 个比特币的赎金。2017 年至今,比特币的价值上下波动,截止1 月6 日,具体金额约等于892 美元。

此次针对MongoDB 的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。

很多MongoDB 数据库处于开放状态,这种情况早已存在。2015 年12 月,安全研究人员Chris Vickery 就曾使用Shodan 搜索工具找到了很多端口开放的MongoDB 服务器。当时Vickery 甚至找到了一个被Mac OS X 工具软件MacKeeper 的开发者Kromtech 使用的,配置存在疏漏的MongoDB 数据库。

Shodan 的创始人 John Matherly 跟进了 Vickery 的研究结果,并在 2015 年 12 月,当时互联网上共有至少35,000 个可公开访问,无须身份验证的MongoDB 实例,一年过去了,直到2017 年1 月,开放式MongoDB 数据库的数量不降反增,估计目前共有多达99,000 个数据库处于风险中。

作为应对此次MongoDB 安全隐患的有效措施,数据库管理员需要参考MongoDB 网站上提供的安全清单进行排查。首先需要“启用访问控制并强制进行身份验证”。

安全研究人员对eWEEK 表示,MongoDB 被攻击者进行勒索完全在意料之中。

“考虑到MongoDB 的流行度以及在生产环境中的普及率,以开源的数据库作为目标并不会让人惊讶。”Dome9 共同创始人兼首席执行官Zohar Alon 向eWEEK 说到:“通常来说,数据库部署过程中的配置疏漏和疏忽就会导致可被攻击者利用的弱点。”

Alon 还补充说,用户的人为错误与不够强的安全意识也会威胁到云环境中运行的工作负载。他建议在使用开源数据库等第三方软件之前,用户应该自学相关知识,掌握最佳实践和已知弱点等内容。

“有趣的是,大部分人认为数据库是足够安全的,因为可以受到防火墙和数据中心的保护,”Jean-François Dubé首席技术官 RiskVision 告诉 eWEEK:“问题在于攻击者依然可以通过消费者所用的端点和第三方连接访问这些服务器并获取信息。”

Dubé建议总的来说,应当定期对数据库进行风险评估。

“使用风险评估工具对数据库进行近乎实时监视的企业,会在加密后的数据离开数据库时更清楚地发现这一切,”他说。

Mimecast 公司网络安全战略师 Matthew Gardiner 评论说,此次 MongoDB 被攻击完全没有让他感到意外。

“一处开放的,无须身份验证的,存有宝贵数据的系统,或其他任何重要的系统,被互联网将规模放大上千倍后,最大的问题在于:攻击者为什么等到现在才开始下手?”Gardiner 说。

Sean Michael Kerner 是 eWEEK 和 InternetNews.com 的资深编辑,你可以在 Twitter 关注他:@TechJournalist。

查看英文原文 MongoDB Ransomware Impacts Over 10,000 Databases

2017-01-08 18:004816
用户头像

发布了 283 篇内容, 共 112.8 次阅读, 收获喜欢 62 次。

关注

评论

发布
暂无评论
发现更多内容

云原生训练营学习总结

arctec

imazingAPP软件怎么安装到苹果手机电脑上面?

茶色酒

imazing

C语言总结_数组全方位练习

DS小龙哥

4月月更

20 数据存储服务器集群的伸缩性设计

爱好编程进阶

Java 程序员 后端开发

2021最新Java学习路线,自学者的福利

爱好编程进阶

Java 程序员 后端开发

Docker下,极速体验pinpoint1.6.3

程序员欣宸

Java 分布式 4月月更

微信小程序开发系列 (四) :微信小程序的页面跳转路由设计

汪子熙

微信小程序 微信 前端开发 微信开发 4月月更

13W字!2021最新发布互联网大厂高频面试技术点!

爱好编程进阶

Java 程序员 后端开发

企业文档协作如何进行?

小炮

文档协同

2021最新一次Java面试,快手三面一轮游,如今已拿意向书

爱好编程进阶

Java 程序员 后端开发

imazing是什么软件?

茶色酒

imazing

Go 语言入门很简单:正则表达式

宇宙之一粟

正则表达式 Go 语言 4月月更

别再用老版云效Projex项目协作了,该升级了

阿里云云效

阿里云 项目管理 研发团队 项目协作 项目协作工具

小平邦彦:树懒style的世界一流数学家

图灵教育

数学 数学史 数学家

微服务与领域驱动设计,架构实践总结

架构 微服务 领域驱动设计 软件架构

字节跳动构建Data Catalog数据目录系统的实践

字节跳动数据平台

数据库 字节跳动 数据治理 数据目录

一种很爽的学习方法,被我Get到了!

博文视点Broadview

华为云大咖带你玩转云原生基础设施之K8s

坚果

4月月更

ThinkPHP6+swoole+easywechat使用教程

CRMEB

大数据培训Spark SQL底层执行流程

@零度

Sparksql 大数据开发

聊聊Kotlin中的lambda

北洋

kotlin Andriod 4月月更

基于语义感知SBST的API场景测试智能生成

华为云开发者联盟

测试 语义感知 SBST 动态修正 ODG图

20年最新金九银十面试必备,教你一份文档吊打面试官,拿到offer

爱好编程进阶

Java 程序员 后端开发

想学习算法交易的工程师们,机会来啦~

非凸科技

rust 招聘 基金 量化交易 算法交易

《Mybatis 手撸专栏》第6章:数据源池化技术实现

小傅哥

Java 面试 小傅哥 mybatis 源码学习

Spark SQL 字段血缘在 vivo 互联网的实践

vivo互联网技术

大数据 spark Sparksql 数据处理

18 张图,一文了解 8 种常见的数据结构

爱好编程进阶

Java 程序员 后端开发

自己动手写 Docker 系列 -- 6.5 启动时给容器配置网络

Go Docker 4月月更

2021最新分享Java面试题库万字精华 github上标星80

爱好编程进阶

Java 程序员 后端开发

MongoDB勒索软件已波及上万数据库_数据库_Sean Michael Kerner_InfoQ精选文章