MongoDB 数据库最快 9 分钟被入侵

平均而言，暴露的Mongo数据库在连接到互联网后的13个小时内就会遭到破坏。据入侵者表示，记录的最快入侵时间是在数据库建立后9分钟进行的。

MongoDB是一个通用的，基于文档的分布式数据库，在全球使用率最高的5个数据库中始终保持不变。全球范围内的许多组织都使用它来存储和保护敏感的应用程序和客户数据。

互联网上有80,000个公开的MongoDB服务，其中20,000个是不安全的。在那些不安全的数据库中，已经有15,000个被勒索软件感染。

MongoDB攻击如何进行

在看到数据库破坏发生的持续性之后，入侵者植入了蜜罐，以查明这些攻击是如何发生的，威胁来自何处以及发生的速度。入侵者在网络上建立了许多不安全的MongoDB蜜罐，每个蜜罐中充斥着假数据。监视了网络流量中是否存在恶意活动，如果泄露了密码哈希值并且发现它们穿过网络，则表明数据库已被破坏。

研究表明，MongoDB暴露于互联网时会遭受持续的攻击。攻击是自动进行的，不受干扰的，平均而言，不安全的数据库在上线后不到24小时就会受到攻击。

在连接的一分钟内，至少会有一个蜜罐被勒索赎金。攻击者删除了数据库的表，并用赎金票据代替了它们，要求用比特币付款以恢复数据：

攻击从何而来？

攻击起源于全球各地，尽管攻击者通常会隐藏其真实位置，因此通常无法确定攻击的真正来源。最快的漏洞来自俄罗斯ISP天网的攻击者，超过一半的漏洞源自罗马尼亚VPS提供商的IP地址。

“很有可能记录的一些活动是安全研究人员在为他们的入侵数据库寻找下一个标题或数据。然而，当涉及到一个公司的安全声誉时，数据是被恶意的攻击者还是善意的研究人员破坏往往并不重要。” Intruder首席执行官Chris Wallis说。

“即使安全团队可以检测到不安全的数据库并识别其潜在的严重性，在不到13小时的时间内响应并包含这种错误配置也可能是艰巨的任务，更不用说在9分钟之内了。预防比治疗更有效。”

一位MongoDB的发言人评论说：“我们的MongoDB社区数据库是一个非常受欢迎的产品，全球下载量超过1亿。不幸的是，并非每个安装都遵循最佳实践，因此，某些配置不正确。几年前，当MongoDB首次意识到这些问题时，我们进行了产品更改，以保护开源社区产品的默认设置。结果，我们发现报告的开放数据库数量显着下降。目前默认的MongoDB数据库设置都是开箱即用的安全默认设置。”