E安全1月6日讯 神秘黑客入侵了未经保护的MongoDB数据库,盗取了数据库内容,并索要赎金作为返还数据的筹码。
GDI Foundation公司(保护互联网安全的非盈利组织)的联合创始人Victor Gevers警告MongoDB安装程序的安全性能差。Gevers发现攻击者清除了MongoDB 196个实例,并以此索要赎金。黑客“Harak1r1”(网名)目前要求对方支付0.2比特币(大概200美元)还原安装。攻击者还要求系统管理员通过电子邮件证明安装的所有权。
如此看来,这名黑客的目标是MongoDB安装包,他可能使用Shodan这类搜索引擎寻找目标。
2016年12月27日,Gevers发现不需要验证,就可通过互联网访问某个MongoDB服务器。
bleepingcomputer.com发表博文称,“这与Gevers过去发现的其它情况不同。当他访问这个开放的服务器时,Gevers只表现一个名为“警告”的表,而不是许多表”。 攻击者访问了这个开放的MongoDB数据库,输出内容,并用包含下方代码的表替换了所有数据:
{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }
Gevers向BleepingComputer透露, “我能够证实,因为日志文件清楚显示首次输出的时间,然后攻击者通过名为 “警告”的表创建了新的数据库。数据库服务器记录下了一举一动。”
Gevers通知了受害者:
他向受害者发送了一封通知信:“犯罪分子常常针对公开数据库部署活动,如窃取数据/索要赎金。但我们还发现,攻击者利用这类开放服务器托管恶意软件(例如勒索软件)、僵尸网络,并在GridFS中隐藏文件。”
通过Google查询这名黑客的电子邮件地址和比特币地址发现,可能还有许多其它受害者。Gevers建议捆绑本地IP阻止访问端口27017,或限制访问该服务器,以保护MongoDB安装。MongoDB管理员还能通过“–auth”重启数据库。以下为MongoDB管理员提供的其它有用建议:
· 检查MongDB账号,查看是否有人添加秘密用户(管理员)。
· 检查GridFS,查看是否有人在此任何文件。
· 检查日志文件,查看谁访问了MongoDB(显示日志全局命令)。
2015年12月,Gevers和Shodan创始人John Matherly发现,超过650TB的MongoDB数据因脆弱的数据库被暴露在互联网上。
此外,研究人员Chris Vickery也发现开放的MongoDB暴露在互联网上。2015年12月,Vickery在网上发现错误配置的MongoDB数据库暴露了1.91亿条美国选民的记录。2016年4月,他还发现,132GB的MongoDB数据库暴露在网上,其中包含9340万墨西哥选民记录。2016年3月,Vickery在互联网上发现Kinoptic iOS应用程序数据库被弃用,其中包含超过1908万用户的数据。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
如果此文章侵权,请留言,我们进行删除。0day
文章评论