前言

根據(jù)國(guó)外安全專家的最新研究發(fā)現(xiàn)，MongoDB數(shù)據(jù)庫(kù)脆弱的安全性已經(jīng)導(dǎo)致一天之內(nèi)受到攻擊的服務(wù)器數(shù)量上升了一倍。由于這些數(shù)據(jù)庫(kù)不會(huì)對(duì)訪問者進(jìn)行任何形式的身份驗(yàn)證，因此大量“開放式”的MongoDB數(shù)據(jù)庫(kù)正在遭受多個(gè)黑客組織的攻擊。攻擊成功之后，目標(biāo)數(shù)據(jù)庫(kù)中的數(shù)據(jù)會(huì)被黑客刪除，受害者必須支付一定金額的贖金之后才能找回自己的數(shù)據(jù)。

事件報(bào)道

安全研究專家報(bào)告稱，一位名叫Harak1r1的黑客可以利用工具掃描出未打補(bǔ)丁或包含錯(cuò)誤配置的MongoDB數(shù)據(jù)庫(kù)，在獲取到包含漏洞的數(shù)據(jù)庫(kù)之后，他會(huì)訪問這臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，并將其中的數(shù)據(jù)全部導(dǎo)出，然后刪除目標(biāo)數(shù)據(jù)庫(kù)中的所有數(shù)據(jù)。接下來，他便會(huì)以此來威脅目標(biāo)數(shù)據(jù)庫(kù)的管理員，如果他們想拿回被盜的數(shù)據(jù)，那么就得支付一定金額的贖金了。除了Harak1r1之外，還有很多其他的攻擊者同樣也在對(duì)那些存在錯(cuò)誤配置的MongoDB數(shù)據(jù)庫(kù)進(jìn)行勒索攻擊。

就在上周的星期一，安全研究專家Victor Gevers發(fā)現(xiàn)有將近兩百個(gè)MongoDB數(shù)據(jù)庫(kù)實(shí)例的數(shù)據(jù)被非法清除，而這些受到攻擊數(shù)據(jù)庫(kù)的管理員均被要求支付數(shù)據(jù)贖金。管理員如果想要恢復(fù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，就得向網(wǎng)絡(luò)犯罪分子支付高額贖金。

然而這件事情并沒有結(jié)束，時(shí)間來到上周的星期二，受感染的MongoDB數(shù)據(jù)庫(kù)數(shù)量已經(jīng)從兩百迅速增長(zhǎng)至兩千了。根據(jù)Shodan創(chuàng)始人John Matherly報(bào)告的數(shù)據(jù)，僅在一天之內(nèi)，受攻擊的MongoDB數(shù)據(jù)庫(kù)數(shù)量就翻了十倍之多，而在上周的星期五，Gevers和另一位安全研究專家Niall Merrigan發(fā)現(xiàn)受感染的MongoDB數(shù)據(jù)庫(kù)數(shù)量已經(jīng)增長(zhǎng)至了一萬多臺(tái)。

然而，根據(jù)Merrigan近期的統(tǒng)計(jì)數(shù)據(jù)顯示，受攻擊的MongoDB數(shù)據(jù)庫(kù)數(shù)量?jī)H在十二小時(shí)之內(nèi)就上升了一倍，目前已經(jīng)有超過兩萬七千臺(tái)MongoDB數(shù)據(jù)庫(kù)受到了攻擊。

更糟糕的是什么?

起初，攻擊者只要求受害人支付0.2個(gè)比特幣(價(jià)值約為184美金)作為數(shù)據(jù)贖金。據(jù)了解，當(dāng)時(shí)已經(jīng)有22個(gè)受害人按要求支付了贖金。但是現(xiàn)在，攻擊者已經(jīng)將勒索贖金提升至了1個(gè)比特幣(價(jià)值約為906美金)。

當(dāng)然了，這些事情可不是Harak1r1一個(gè)人干的。根據(jù)安全研究人員透露的信息，他們已經(jīng)檢測(cè)到了十五個(gè)不同的攻擊者。其中有一位名叫kraken0的攻擊者成功引起了研究人員的注意，他利用惡意郵件成功入侵了15482個(gè)MongoDB數(shù)據(jù)庫(kù)，并且目標(biāo)數(shù)據(jù)庫(kù)的管理員必須支付1個(gè)比特幣來拿回他們的數(shù)據(jù)。不過，目前好像并沒有人向他支付過贖金。

目前研究人員已經(jīng)在Google Docs上發(fā)布了一個(gè)列表，并且在其中列出了參與此次攻擊的黑客組織名單，但是參與攻擊的黑客數(shù)量仍在持續(xù)增加。攻擊者所要求支付的金額各異，最低的僅0.15個(gè)比特幣，但也有高達(dá)1個(gè)比特幣的贖金。2017年至今，比特幣的價(jià)值上下波動(dòng)，截止1月11日本文發(fā)稿時(shí)，1比特幣的金額約等于6373美元。

這也就意味著，當(dāng)MongoDB數(shù)據(jù)庫(kù)被攻擊事件在上周一被曝光之后，越來越多的黑客和黑客團(tuán)伙也加入了Harak1r1的行列。為了賺取錢財(cái)，他們也開始攻擊包含漏洞的MongoDB數(shù)據(jù)庫(kù)，并刪除數(shù)據(jù)以勒索管理員。

這一次的勒索攻擊到底是誰(shuí)的責(zé)任?

沒錯(cuò)，就是你!需要為此次事件負(fù)責(zé)的人就是你們這些數(shù)據(jù)庫(kù)管理員!之所以你的MongoDB數(shù)據(jù)庫(kù)會(huì)被黑客攻擊，主要是因?yàn)槟銢]有對(duì)MongoDB數(shù)據(jù)庫(kù)進(jìn)行正確的配置。在這一波攻擊事件當(dāng)中，幾乎所有被攻擊的MongoDB數(shù)據(jù)庫(kù)服務(wù)器其管理員賬號(hào)都沒有設(shè)置訪問密碼。

我們可以直接使用Shodan搜索引擎來掃描出存在漏洞或包含錯(cuò)誤配置的MongoDB數(shù)據(jù)庫(kù)，而掃描結(jié)果顯示，目前大約有十萬個(gè)存在安全問題的MongoDB數(shù)據(jù)庫(kù)實(shí)例。我們可以發(fā)現(xiàn)這些數(shù)據(jù)庫(kù)，攻擊者同樣也可以。

如何保護(hù)你自己?

安全研究專家在經(jīng)過了詳細(xì)的分析和調(diào)查之后發(fā)現(xiàn)，并沒有任何證據(jù)可以表明攻擊者在刪除這些數(shù)據(jù)之前已經(jīng)將相關(guān)數(shù)據(jù)進(jìn)行了導(dǎo)出，但是他們卻承諾稱用戶在支付了贖金之后可以拿回自己的數(shù)據(jù)，對(duì)此研究人員認(rèn)為犯罪分子的可信度并不高。

Gevers建議各位MongoDB數(shù)據(jù)庫(kù)的管理員們不要急于向犯罪分子支付贖金，他們可以向安全專家們尋求幫助。目前為止，他和Merrigan已經(jīng)幫助了112位數(shù)據(jù)庫(kù)管理員提升了他們MongoDB數(shù)據(jù)庫(kù)的安全性。

除此之外，各位MongoDB數(shù)據(jù)庫(kù)的管理員也可以按照下列步驟來提升自己的安全性：

1. 啟用身份驗(yàn)證功能：如果你的網(wǎng)絡(luò)系統(tǒng)或防火墻被攻破了，那么身份驗(yàn)證功能就會(huì)成為你的救命稻草。編輯你的MongoDB配置文件，將“auth”的值改為“true”。

2. 使用防火墻：盡量避免去犯一些常見的錯(cuò)誤，如果可以的話，禁用MongoDB數(shù)據(jù)庫(kù)的遠(yuǎn)程訪問功能，禁止訪問端口27017，或者通過綁定IP地址(白名單)來限制數(shù)據(jù)庫(kù)服務(wù)器的訪問權(quán)限。

3. 產(chǎn)品更新：強(qiáng)烈建議各位管理員及時(shí)更新MongoDB數(shù)據(jù)庫(kù)軟件。

與此同時(shí)，MongoDB數(shù)據(jù)庫(kù)的開發(fā)人員已經(jīng)發(fā)布了一份安全更新公告[傳送門]，并且在公告中詳細(xì)描述了這一次的勒索攻擊。你可以從中了解到如何去檢測(cè)這類攻擊，以及如何更好地防御這類攻擊，并且按照研究人員給出的方法來檢查自己數(shù)據(jù)的完整性。