MongoDB“赎金事件”再来袭，超过26,000台服务器被勒索

根据安全研究人员Dylan Katz和Victor Gevers的说法，上周末，三个新的黑客团体劫持了超过26,000台MongoDB服务器，其中规模最大的一组劫持了超过22,000台MongoDB服务器。

【发起此次勒索攻击的3个新黑客团体】

这些黑客组织利用MongoDB数据库未授权访问漏洞，劫持服务器后批量对存在漏洞的数据库进行“删库”操作并留下联系方式以勒索用户支付赎金。

两名安全人员认为，此次勒索攻击是“MongoDB启示录”事件的延续。称为“MongoDB启示录”的勒索事件开始于2016年12月底，并在2017年1月达到顶峰。

“MongoDB启示录”事件回顾

被称为“MongoDB启示录”的勒索攻击事件最早由白帽子VictorGevers@GDI Foundation（网名0xDUDE）在2016年12月27日发现。当时，他发现有些在公网上暴露的MongoDB被黑掉，数据库中的数据都被删掉，并且黑客创建了一个WARING数据库（其中包含一张WARING表），其中的文档要求用户发送0.2个比特币到某个地址，然后再通过Email将IP地址发给黑客，黑客再进行相应的数据恢复工作。

在接下来的时间中，陆续有更多的MongoDB数据库被黑事件曝光。该事件最早是由Harak1r1黑客组织发起的，后续有多达20+黑客组织跟进，他们勒索的赎金从0.1到1比特币不等，短短数天时间已有约3万多MongoDB中招；据不完全统计，3天之内被删除的MongoDB数据量超过100TB。而分析Harak1r1组织使用的比特币钱包发现，至少有22名受害者已经支付了赎金。

新一波MongoDB勒索攻击 

安全研究人员借助Google Docs电子表格跟踪了这些攻击。总的来说，攻击者破坏了超过45,000个数据库。此外，研究人员还发现，这些黑客不仅针对MongoDB实施攻击，其他数据库管理系统（DBMS）也未能幸免于难，包括ElasticSearch、Hadoop、CouchDB、Cassandra以及MySQL等也受到了此次攻击影响。

Gevers表示，这一次，新出现的黑客组织对MongoDB数据库发起了新一轮的攻击。与“MongoDB启示录”事件相比，此次攻击者的数量有所下降，但每次攻击的破坏性（受害者）数量上升。所以可以说，虽然攻击者数量是减少了，但是影响却更大了。

总结和反思 

轻视安全问题是要付出代价的。事实上MongoDB数据库泄漏问题早在2015年就被报导过。当时Shodan（搜索引擎）的负责人John Matherly统计到有30，000个以上的MongoDB数据库实例，近600TB的数据暴露于公网之上，无需任何认证就可访问。

很多版本滞后的数据库配置文件里没有做IP捆绑（bind_ip 127.0.0.1），在用户不甚了解的时候留下了安全隐患。虽然MongoDB的开发团队在下一个版本里修复了这个问题，但截止事发，仍然有数量众多的数据库管理者没来得及更新。

一次又一次的勒索事件带来了一个显著的后果——那就是世界范围内存储在MongoDB数据库里数据量的大幅下滑。毫无疑问，黑客们的疯狂给人们敲响了警钟，好好审视自己，你还在轻视安全吗？你的数据库配置得当了吗？

针对上述情况，国家网络与信息安全信息通报中心建议采取以下防范措施：

一是修改数据库默认端口或将数据库部署在内网环境中，将MongoDB数据库默认端口（TCP 27017）修改为其他端口；
二是开启MongoDB数据库访问授权；
三是使用SSL加密功能；
四是使用“--blind_ip”选项，限制监听接口IP；
五是开启数据库日志审计功能，记录所有数据库操作；
六是及时做好重要数据备份工作。