独家报道丨黑客窃取MongoDB的数据,勒索受害者

楼主:ty_夏木409 时间:2017-01-05 14:42:00 点击:734 回复:11
脱水 打赏 看楼主 设置

字体:

边距:

背景:

还原:

  
  文章由悬镜小编翻译,转载请标注来源http://www.xmirror.cn/,独家报道。

  GDI基金会的共同创始人Victor Gevers是在野外警告MongoDB安装的安全性差。 安全专家已经发现了196个MongoDB实例,它们被欺骗者擦除并被赎金。

  一个通过在线昵称Harak1r1访问的黑客要求0.2 BTC,在当前交换中大约为200美元,以便恢复安装。 骗子还要求系统管理员通过电子邮件演示安装的所有权。

  似乎看起来黑客正在关注开放的MongoDB安装,可能使用像Shodan这样的搜索引擎。

  在12月27日,Gevers发现了一个MongoDB服务器,无需通过互联网进行身份验证即可访问。

  “这个不像他在过去发现的情况一样。当他访问打开的服务器,而不是查看数据库的内容,表的集合,Gevers只找到一个名为“WARNING”的表。

  “读取在bleepingcomputer.com上发布的博客帖子。

  攻击者访问打开的MongoDB数据库,导出其内容,并用包含以下代码的表替换所有数据:

  { "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }

  “我能够确认[this],因为日志文件清楚地显示,它首先导出的日期,然后新的数据库与tablename警告创建,”Gevers告诉BleepingComputer。 “正在记录数据库服务器中的每个操作。

  专家通知受害者他们的数据库被黑客:

  “犯罪分子通常面向开放数据库来部署他们的活动,如数据窃取/赎金。 但我们也看到,像这样的开放式服务器用于托管恶意软件(如勒索软件),僵尸网络和在GridFS中隐藏文件,“他在发给受害者的通知信中写道。

  

  查询Google的黑客电子邮件地址和比特币地址,可以验证许多其他用户是同一攻击者的受害者.Gevers建议阻止访问端口27017或限制访问服务器通过绑定本地IP为了保护MongoDB 安装。

  MongoDB管理员也可以重新启动数据库与“-auth”选项后,他们已经分配用户访问。

  下面的其他提示对MongoDB管理员有用:

  检查MongDB帐户以查看是否没有人添加了密码(admin)用户。

  检查GridFS以查看是否有人存储任何文件。

  检查日志文件以查看谁访问了MongoDB(show log global命令)。

  2015年12月,流行专家和Shodan创作者John Matherly发现了通过脆弱的数据库在互联网上暴露了超过650太字节的MongoDB数据。

  研究人员克里斯·维克里(Chris Vickery)发现互联网上暴露的开放MongoDB的其他骇人听闻的案例。

  2015年12月,安全专家克里斯·维克里发现在线的美国选民的1.91亿条记录,在2016年4月,他还发现了一个132 GB的MongoDB数据库在线打开,包含9340万墨西哥选民记录。

  2016年3月,克里斯维克里发现在线数据库 的Kinoptic iOS应用程序,这是开发人员抛弃的,有超过198,000个用户的细节。

打赏

0 点赞

主帖获得的天涯分:0
举报 | | 楼主
楼主发言:1次 发图:1张 | 添加到话题 |
作者:衮特么远点特d 时间:2017-01-11 14:30:37
  写的很精彩
  
发表回复

请遵守天涯社区公约言论规则,不得违反国家法律法规