有人劫持不安全的MongoDB数据库索要赎金

这些MongoDB实例并不是由于其软件中的任何缺陷而暴露出来的，而是由于一种错误配置（糟糕的安全做法），使得任何远程攻击者都可以在不使用任何特殊黑客工具的情况下访问MongoDB数据库。

MongoDB后来在下一版本的软件中解决了这个问题，在配置中默认设置了无限制远程访问，数千名站点管理员尚未更新其服务器。

但相信我，他们现在会后悔的！

一名黑客现在正在劫持和清除不安全的MongoDB数据库，但保留了这些数据库的副本，以便向管理员索要0.2比特币（约合211美元）的赎金以归还丢失的数据。因此，没有备份的管理员处于困境。

事实上，比特币价格的上涨甚至暗示了它的一些麻烦。撰写od时，1比特币=1063美元。

安全研究者和GDI基金会创始人维克多杰弗斯（@ 0xdUD）发现了攻击，并通过推特通知了未经密码保护的MangoDB安装给所有者。

Gevers发现了近200个MongoDB安装实例，这些实例被删除并被勒索，而据Shodan创始人约翰·马瑟利（John Matherly）报道，截至下午4点，这个数字达到了大约2000个数据库，许多暴露的MongoDB数据库都可以在那里找到。

这些攻击已经持续了一周多，目标是世界各地的服务器。据信，名为“harak1r1”的攻击者没有加密数据，而是运行了一个脚本，用攻击者的赎金笔记替换了数据库的内容。

在访问其中一个开放服务器时，Gevers发现只有一个名为“WARNING”的表代替了数据库内容，该表的内容如下：

“将0.2 BTC发送到此地址13ZAXGVJ9MNC2JYVDRHLYYPKCH323MSMQ，并使用服务器的IP与此电子邮件联系以恢复数据库”！

16名受害者已经支付了赎金

目前大约有16个组织向袭击者支付了赎金。

自2015年以来，Matherly一直在警告暴露的MongoDB安装的危险，允许攻击者通过互联网远程访问数据库，而无需任何形式的身份验证。

Matherly说，公开曝光的30000个MongoDB实例中，大多数都运行在云服务器上，比如亚马逊、数字海洋、Linode、互联网服务和托管提供商OVH，而且没有身份验证，这使得云服务比数据中心托管更麻烦。

如何知道你是否被黑客入侵？

• 检查MongoDB帐户，查看是否没有人添加了机密（管理员）用户。
• 检查GridFS以查看是否有人在那里存储了任何文件。
• 查看日志文件，查看谁访问了MongoDB。

如何保护自己？

• 启用身份验证，在网络受损时为您提供“深度防御”。编辑MongoDB配置文件—；auth=true。
• 使用防火墙；如果可能，禁用对MongoDB的远程访问。建议管理员使用防火墙阻止对端口号27017的访问，以保护MongoDB安装。
• 配置绑定ip；通过绑定本地IP地址来限制对服务器的访问。
• 升级；强烈建议管理员将其软件升级至最新版本。

MongoDB是从eBay和Sourceforge到《纽约时报》和LinkedIn等各种规模的公司使用的最受欢迎的开源NoSQL数据库。鼓励管理员遵循公司提供的安全检查表。