MongoDB 黑客赎金事件 , 官方终于回应了

hoxton 2017-1-9 网络安全 0 1

【IT168 评论】几日前,DB-Engines 发布了 2016 年 DBMS 榜单,MongoDB 遗憾败北无缘前三甲。近日,MongoDB 数据库实例遭受多个黑客组织攻击的事件又被刷爆朋友圈,众多用户的数据库内容被加密,必须支付赎金才能重新找回数据,这个冬天对于 MongoDB 来说,真是多事之秋啊。

MongoDB 黑客赎金事件始末

2015 年底,有专家指出至少 35000 万个 MongoDB 数据库暴露在互联网上,近 684.8T 的数据在裸奔。据统计,今年 1 月 Shodan 上暴露在公网的 MongoDB 数据库多达 47000 个。著名安全专家 John Matherly 观察,不安全数据在以可怕的速度增加,从 2015 年 7 月到 12 月,短短四个月的时间不安全数据库实例增加了 5000。Matherly 在 2015 年就提出了这些裸露数据存在着巨大风险的论述。

果不其然,2016 年 12 月 27 日,GDI Foundation 的安全研究人员 Victor Gevers 首次发现了攻击者利用配置存在纰漏的开源数据库 MongoDB 展开了勒索行为。自称 Harak1r1 的黑客组织将网络上公开的 MongoDB 资料库中的资料汇出,并将 MongoDB 服务器上的资料移除,然后向数据库所有人索取 0.2 个比特币 ( 约 208 美元 ) 的赎金。据悉,Harak1r1 在短短几天的时间内攻击了 2000 多个 MongoDB 数据库,并有十多个所有人已支付赎金。

▲黑客发布的赎金要求

Harak1r1 的攻击行为似乎点燃了黑客的攻击本能,众多鬣狗一下子围了上来,own3d ( 干掉了近千个数据库,赎金金额为 0.5 个比特币 ) 、0704341626asdf ( 据统计干掉了至少 740 个数据库,赎金金额为 0.15 个比特币 ) 、kraken0、3lix1r ( 这两个为后来者,但攻击速度不容小觑 ) 。目前,MongoDB 黑客攻击事件已经是一场大乱斗了,甚至还出现了黑客篡改其它黑客勒索信的情况。

MongoDB 官方如何回应

MongoDB 数据库被攻击事件愈演愈烈,甚至 BBC 也报道了该事件,美国 MongoDB 也针对此事件正式做出了回应:

最近有报告称,网络上有一些黑客恶意攻击在互联网上公开运行的 MongoDB 数据库。攻击者号称在备份了数据后删除了整个数据库,并要求被攻击者支付赎金以还原被删除的数据。其实这些攻击完全可以通过 MongoDB 中内置的完善的安全机制来预防,只要您按照我们的安全文档正确使用这些功能就可以避免攻击事件的发生。

默认情况下,最受欢迎的 MongoDB ( RPM ) 安装程序会把对 MongoDB 实例的访问限制到 localhost。如果您通过其他方式安装,也可以使用此配置。MongoDB Cloud Manager 和 MongoDB OpsManager 提供连续备份与时间点恢复,用户可以启用告警,以检测其部署是否暴露于互联网。

最新的 MongoDB 3.4 版本可以让您在不停机状态下启用身份验证。MongoDB Atlas,MongoDB 官方提供的 MongoDB 云数据库服务为您的数据库提供多个级别的安全性。这些功能包括强大的访问控制,使用 Amazon VPC 和 VPC Peering 的网络隔离,IP 白名单,使用 TLS / SSL 的数据加密以及底层文件系统的静态加密。

另外,我们鼓励经历过 MongoDB 安全事件的用户创建漏洞报告。如果您有兴趣了解有关安全最佳做法的更多信息,请阅读我们的安全架构白皮书。

下面笔者来总结一下官方回应的内容:1. 被攻击的 MongoDB 数据库都是没有按照安全文档正确配置的;2.MongoDB 新版本提供多个级别的安全性,用户只要升级就可不受攻击;3. 如果你已经被攻击了,欢迎你创建漏洞报告,方便我们完善漏洞。

如何避免这样的事件再次发生

虽然,安全事件屡有发生,但是并没有真正的引起人们的注意,大多数人对于安全还是抱有侥幸心理,此次 MongoDB 黑客赎金事件再次给我们敲响了警钟,如果你不重视安全,那么事实总会给你迎头一击的。

MongoDB 事件其实也暴露出了安全问题的短板其实是用户,首先用户对于数据库的安全不重视,其次用户在使用过程中可能没有养成定期备份的好习惯,最后是企业可能缺乏有经验和技术的专业人员。

对于已经遭受到攻击的用户,MongoDB 官方也给出了具体的解决方法:首要任务是保护您的集群以防止进一步的未授权访问,然后通过运行 usersInfo 来检查是否有添加,删除或修改的用户,检查日志以查找攻击的时间,检查是否有删库或者删表,修改用户或创建赎金记录的命令。如果用户有定期备份的习惯,那么再好不过了,因为只要还原最新备份即可,如果没有备份,那么数据可能会永久丢失。

写在最后的话:

虽然,MongoDB 黑客赎金事件让很多用户蒙受了损失,但也不失为一件好事,在产生更多更严重的安全事件之前,为企业敲响了警钟。居安思危,这个世界没有绝对的安全,绝不能放松警惕,毕竟这世上有太多的 " 有心人 " 了。

文章出处:IT168企业级

转载请注明来自华盟网,本文标题:《MongoDB 黑客赎金事件 , 官方终于回应了》

喜欢 (1) 发布评论
发表评论