有人劫持不安全的MongoDB數據庫索要贖金

這些MongoDB實例并不是由于其軟件中的任何缺陷而暴露出來的，而是由于一種錯誤配置（糟糕的安全做法），使得任何遠程攻擊者都可以在不使用任何特殊黑客工具的情況下訪問MongoDB數據庫。

MongoDB后來在下一版本的軟件中解決了這個問題，在配置中默認設置了無限制遠程訪問，數千名站點管理員尚未更新其服務器。

但相信我，他們現在會后悔的！

一名黑客現在正在劫持和清除不安全的MongoDB數據庫，但保留了這些數據庫的副本，以便向管理員索要0.2比特幣（約合211美元）的贖金以歸還丟失的數據。因此，沒有備份的管理員處于困境。

事實上，比特幣價格的上漲甚至暗示了它的一些麻煩。撰寫od時，1比特幣=1063美元。

安全研究者和GDI基金會創始人維克多杰弗斯（@ 0xdUD）發現了攻擊，并通過推特通知了未經密碼保護的MangoDB安裝給所有者。

Gevers發現了近200個MongoDB安裝實例，這些實例被刪除并被勒索，而據Shodan創始人約翰·馬瑟利（John Matherly）報道，截至下午4點，這個數字達到了大約2000個數據庫，許多暴露的MongoDB數據庫都可以在那里找到。

這些攻擊已經持續了一周多，目標是世界各地的服務器。據信，名為“harak1r1”的攻擊者沒有加密數據，而是運行了一個腳本，用攻擊者的贖金筆記替換了數據庫的內容。

在訪問其中一個開放服務器時，Gevers發現只有一個名為“WARNING”的表代替了數據庫內容，該表的內容如下：

“將0.2 BTC發送到此地址13ZAXGVJ9MNC2JYVDRHLYYPKCH323MSMQ，并使用服務器的IP與此電子郵件聯系以恢復數據庫”！

16名受害者已經支付了贖金

目前大約有16個組織向襲擊者支付了贖金。

自2015年以來，Matherly一直在警告暴露的MongoDB安裝的危險，允許攻擊者通過互聯網遠程訪問數據庫，而無需任何形式的身份驗證。

Matherly說，公開曝光的30000個MongoDB實例中，大多數都運行在云服務器上，比如亞馬遜、數字海洋、Linode、互聯網服務和托管提供商OVH，而且沒有身份驗證，這使得云服務比數據中心托管更麻煩。

如何知道你是否被黑客入侵？

• 檢查MongoDB帳戶，查看是否沒有人添加了機密（管理員）用戶。
• 檢查GridFS以查看是否有人在那里存儲了任何文件。
• 查看日志文件，查看誰訪問了MongoDB。

如何保護自己？

• 啟用身份驗證，在網絡受損時為您提供“深度防御”。編輯MongoDB配置文件—；auth=true。
• 使用防火墻；如果可能，禁用對MongoDB的遠程訪問。建議管理員使用防火墻阻止對端口號27017的訪問，以保護MongoDB安裝。
• 配置綁定ip；通過綁定本地IP地址來限制對服務器的訪問。
• 升級；強烈建議管理員將其軟件升級至最新版本。

MongoDB是從eBay和Sourceforge到《紐約時報》和LinkedIn等各種規模的公司使用的最受歡迎的開源NoSQL數據庫。鼓勵管理員遵循公司提供的安全檢查表。