4小时前来源:IT168
【IT168 评论】几日前,DB-Engines发布了2016年DBMS榜单,MongoDB遗憾败北无缘前三甲。近日,MongoDB数据库实例遭受多个黑客组织攻击的事件又被刷爆朋友圈,众多用户的数据库内容被加密,必须支付赎金才能重新找回数据,这个冬天对于MongoDB来说,真是多事之秋啊。
MongoDB黑客赎金事件始末
2015年底,有专家指出至少35000万个MongoDB数据库暴露在互联网上,近684.8T的数据在裸奔。据统计,今年1月Shodan上暴露在公网的MongoDB数据库多达47000个。著名安全专家John Matherly观察,不安全数据在以可怕的速度增加,从2015年7月到12月,短短四个月的时间不安全数据库实例增加了5000。Matherly在2015年就提出了这些裸露数据存在着巨大风险的论述。
果不其然,2016年12月27日,GDI Foundation 的安全研究人员 Victor Gevers首次发现了攻击者利用配置存在纰漏的开源数据库MongoDB展开了勒索行为。自称Harak1r1 的黑客组织将网络上公开的MongoDB资料库中的资料汇出,并将MongoDB服务器上的资料移除,然后向数据库所有人索取0.2个比特币(约208美元)的赎金。据悉,Harak1r1在短短几天的时间内攻击了2000多个MongoDB数据库,并有十多个所有人已支付赎金。
▲黑客发布的赎金要求
Harak1r1的攻击行为似乎点燃了黑客的攻击本能,众多鬣狗一下子围了上来,own3d(干掉了近千个数据库,赎金金额为0.5个比特币)、0704341626asdf(据统计干掉了至少740个数据库,赎金金额为0.15个比特币)、kraken0、3lix1r(这两个为后来者,但攻击速度不容小觑)。目前,MongoDB黑客攻击事件已经是一场大乱斗了,甚至还出现了黑客篡改其它黑客勒索信的情况。
MongoDB官方如何回应
MongoDB数据库被攻击事件愈演愈烈,甚至BBC也报道了该事件,美国MongoDB也针对此事件正式做出了回应:
最近有报告称,网络上有一些黑客恶意攻击在互联网上公开运行的MongoDB数据库。攻击者号称在备份了数据后删除了整个数据库,并要求被攻击者支付赎金以还原被删除的数据。其实这些攻击完全可以通过MongoDB中内置的完善的安全机制来预防,只要您按照我们的安全文档正确使用这些功能就可以避免攻击事件的发生。
默认情况下,最受欢迎的MongoDB(RPM)安装程序会把对MongoDB实例的访问限制到localhost。如果您通过其他方式安装,也可以使用此配置。MongoDB Cloud Manager和MongoDB OpsManager提供连续备份与时间点恢复,用户可以启用告警,以检测其部署是否暴露于互联网。
最新的MongoDB 3.4版本可以让您在不停机状态下启用身份验证。MongoDB Atlas,MongoDB官方提供的MongoDB云数据库服务为您的数据库提供多个级别的安全性。这些功能包括强大的访问控制,使用Amazon VPC和VPC Peering的网络隔离,IP白名单,使用TLS / SSL的数据加密以及底层文件系统的静态加密。
另外,我们鼓励经历过MongoDB安全事件的用户创建漏洞报告。如果您有兴趣了解有关安全最佳做法的更多信息,请阅读我们的安全架构白皮书。
下面笔者来总结一下官方回应的内容:1.被攻击的MongoDB数据库都是没有按照安全文档正确配置的;2.MongoDB新版本提供多个级别的安全性,用户只要升级就可不受攻击;3.如果你已经被攻击了,欢迎你创建漏洞报告,方便我们完善漏洞。
如何避免这样的事件再次发生
虽然,安全事件屡有发生,但是并没有真正的引起人们的注意,大多数人对于安全还是抱有侥幸心理,此次MongoDB黑客赎金事件再次给我们敲响了警钟,如果你不重视安全,那么事实总会给你迎头一击的。
MongoDB事件其实也暴露出了安全问题的短板其实是用户,首先用户对于数据库的安全不重视,其次用户在使用过程中可能没有养成定期备份的好习惯,最后是企业可能缺乏有经验和技术的专业人员。
对于已经遭受到攻击的用户,MongoDB官方也给出了具体的解决方法:首要任务是保护您的集群以防止进一步的未授权访问,然后通过运行usersInfo来检查是否有添加,删除或修改的用户,检查日志以查找攻击的时间,检查是否有删库或者删表,修改用户或创建赎金记录的命令。如果用户有定期备份的习惯,那么再好不过了,因为只要还原最新备份即可,如果没有备份,那么数据可能会永久丢失。
写在最后的话:
虽然,MongoDB黑客赎金事件让很多用户蒙受了损失,但也不失为一件好事,在产生更多更严重的安全事件之前,为企业敲响了警钟。居安思危,这个世界没有绝对的安全,绝不能放松警惕,毕竟这世上有太多的“有心人”了。
