MongoDB数据库又被勒索攻击了

前言

朋友发来一张图片,说MongoDB数据库被勒索了,问我是哪个家族的......

(上图来源于网络),当笔者看到朋友发的图片之后,判断应该是黑客入侵了MongoDB数据库服务器,然后删除了数据库里面的数据,再写入勒索提示信息,进行勒索攻击,其实MongoDB数据库被勒索早就不是什么新鲜事了,之前国内外基本上每年都有过相关的报道,然而这还是没有引起足够的重视,可见国外内各企业的安全意识还有待提高,现在网络安全事件真的是太多了,各种网络安全威胁更是无处不在,全球黑客组织无时无刻不在寻找的新的攻击目标,也许下一个就是你!

漏洞研究

01 勒索攻击

为什么黑客能够进入MongoDB数据库,然后删除数据库里的文件,并留下上面的勒索提示信息呢?黑客是通过什么方式进入MongoDB数据库的?

主要原因就是MongoDB数据库存在未授权访问漏洞,开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增删改高危动作)而且可以远程访问数据库。

02 漏洞成因

在初始安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了—auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以—auth 参数启动),直到在admin.system.users中添加了一个用户。加固的核心是只有在admin.system.users中添加用户之后,mongodb的认证,授权服务才能生效。

03 漏洞修复

针对该漏洞,可以在网上搜索找到很多相关的修复方案,如下:

1. 做好访问认证。打开你的MongoDB配置文件(.conf),设置为auth=true

2. 做好防火墙设置。建议管理者关闭27017端口的访问。

3. Bind_ip,绑定内网IP访问。

4. 做好升级。请管理者务必将软件升级到最新版本。

可以自行搜索修复,同时还可以参考国内某厂商之前发布的《MongoDB数据库未授权访问漏洞防御最佳实践》。

安全威胁

MongoDB数据库被勒索已经不是什么新鲜事了,早在2017年就曾有超过三万多台企业的MongoDB数据库被入侵勒索,就在去年年中,ZDNet也曾报道,2.29 万在网上暴露的 MongoDB 数据库被黑客勒索。据悉,某黑客利用一个自动化脚本扫描配置错误的 MongoDB 数据库,删除数据库中的内容,然后留下一条勒索信息,要求用户支付 0.015 比特币(相当于 140 美元),如下所示:

其实MongoDB数据库被勒索,从2017年到现在一直从没有停止过,笔者通过相关网站查询monogdb数据库,发布还有很多暴露在公网上的mongodb数据库服务器,如下所示:

这些暴露的Monogdb数据库还有多少存在未授权访问漏洞的?黑客组织估计每天都在扫描全球的网络设备,然后植入传播各种恶意软件或进行勒索病毒攻击,安全意识很重要,就像笔者上篇所说的,随着云计算的发展,云服务器会成为黑客组织未来攻击的下一个重要目标,全球各种黑客组织会对暴露在公网上的云计算的VPS、ECS、虚拟主机、数据库服务器等进行扫描,同时会对一些服务器托管服务商和运营商进行定向攻击。

总结

此次的勒索病毒攻击事件与之前不一样,之前主要是通过植入勒索病毒恶意软件,对系统中重要的文件数据进行加密勒索,这次勒索病毒攻击主要是通过入侵暴露在公网上的存在漏洞的MongoDB数据库服务器,进行勒索攻击,勒索病毒攻击可以说是无处不在了,攻击方式也是多种多样,之前还有其他类型的数据库服务器也曾被勒索攻击过,有些同样使用未授权漏洞,有些通过暴力破解等方式攻击暴露在公网中的数据库服务器,然后进行勒索,全球每天都有企业被勒索病毒黑客组织勒索攻击,同时其他各种网络安全威胁事件也是频频发生,有太多安全事件需要关注,有太多的威胁需要发现,未来网络安全威胁事件会越来越多,做安全,现在才刚刚开始,未来安全,谁与争锋,安全的路还很长,不忘初心。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/390612.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

QPaint绘制自定义坐标轴组件00

最终效果 1.创建一个ui页面,修改背景颜色 鼠标右键->改变样式表->添加颜色->background-color->选择合适的颜色->ok->Apply->ok 重新运行就可以看到widget的背景颜色已经改好 2.创建一个自定义的widget窗口小部件类,class MyChart…

OpenCV-41 使用掩膜的直方图

一、掩膜 掩膜即为与原图大小一致的黑底白框图。 如何生成掩膜? 先生成一个全黑的和原始图片大小一样大的图片。mask np.zeros(img.shape, np.uint8)将想要的区域通过索引方式设置为255.mask[100:200, 200:300] 示例代码如下: import cv2 import ma…

【电路笔记】-LR串联电路

LR串联电路 文章目录 LR串联电路1、概述2、示例1所有线圈、电感器、扼流圈和变压器都会在其周围产生磁场,由电感与电阻串联组成,形成 LR 串联电路。 1、概述 在本节有关电感器的第一个文章中,我们简要介绍了电感器的时间常数,指出流过电感器的电流不会瞬时变化,而是会以恒…

【LeetCode: 107. 二叉树的层序遍历 II + BFS】

🚀 算法题 🚀 🌲 算法刷题专栏 | 面试必备算法 | 面试高频算法 🍀 🌲 越难的东西,越要努力坚持,因为它具有很高的价值,算法就是这样✨ 🌲 作者简介:硕风和炜,…

不花一分钱,在 Mac 上跑 Windows(M1/M2 版)

这是在 MacOS M1 上体验最新 Windows11 的效果: VMware Fusion,可以运行 Windows、Linux 系统,个人使用 licence 免费 安装流程见 👉 https://zhuanlan.zhihu.com/p/452412091 从申请 Fusion licence 到下载镜像,再到…

PPT导出PDF时保持图像高清的方法

问题: 我们经常会发现,在PPT中插入的图片非常高清,但是通过PPT转换为PDF之后,图片就会出现不同程度的失真。 问题产生的原因: 这是因为Acrobat的PDF Maker在将PPT转换为PDF的时候,对PPT中的图片进行了压缩 Solution: 在PPT的…

信息安全技术基础知识

一、考点分布 信息安全基础(※※)信息加密解密技术(※※※)密钥管理技术(※※)访问控制及数字签名技术(※※※)信息安全的保障体系 二、信息安全基础 信息安全包括5个基本要素&#…

ChatGPT绘图指南:DALL.E3玩法大全(一)

一、 DALLE.3 模型介绍 1、什么是 DALLE.3 模型? DALLE-3模型,是一种由OpenAI研发的技术,它是一种先进的生成模型,可以将文字描述转化为清晰的图片。这种模型的名称"DALLE"实际上是"Deep Auto-regressive Latent …

Qt:Qt3个窗口类的区别、VS与QT项目转换

一、Qt3个窗口类的区别 QMainWindow:包含菜单栏、工具栏、状态栏 QWidget:普通的一个窗口,什么也不包括 QDialog:对话框,常用来做登录窗口、弹出窗口(例如设置页面) QDialog实现简易登录界面…

致敬新春“不回家”的厨师,李锦记让厨师的年味更有滋味

“新春饭市万家团圆,致敬千万坚守岗位的厨师” 新春团圆饭向来是餐饮行业最为关注的节点,但过去几年,在疫情与后疫情时期,新年团圆饭市不免冷清。而今年餐饮行业真正迎来“龙抬头”,龙年除夕夜的团圆饭市终于重迎来了…

第三十三回 镇三山大闹青州道 霹雳火夜走瓦砾场-python分割字符串

黄信和刘知寨押解宋江和花荣向青州走,碰到了燕顺等三人来劫囚车,黄信逃走了,刘知寨被抓住,被花荣一刀杀了。 黄信把情况报给青州知府,派来了青州兵马秦统制,人称霹雳火的秦明。秦明与花荣打,花…

Go语言每日一练——链表篇(九)

传送门 牛客面试笔试必刷101题 ----------------链表相加(二) 题目以及解析 题目 解题代码及解析 解析 这一道题主要是要对链表相加的过程进行模拟,虽然思路不难但是细节出比较多,这里博主的思路主要是先将两个链表反转过来然后以Head1为基础来模拟…

JAVA并发编程(八)-无锁-乐观锁(非阻塞)

文章目录 🐶一、无锁实现(CAS)1、代码演示2、CAS效率分析3、CAS的特点 🐱二、原子整数🐭三、原子引用1、代码演示2、ABA问题3、AtomicMarkableReference 🐹四、原子数组🐰五、字段更新器&#x…

多线程的基本原理学习

由一个问题引发的思考 线程的合理使用能够提升程序的处理性能,主要有两个方面,第一个是能够利用多核cpu以及超线程技术来实现线程的并行执行;第二个是线程的异步化执行相比于同步执行来说,异步执行能够很好的优化程序的处理性能提…

EasyRecovery软件有哪些版本?如何下载2024最新版本

EasyRecovery 是一款功能强大的数据恢复软件,适用于电脑上的数据恢复需求。以下是该软件的不同电脑版本及其主要特点: EasyRecovery Home(家用版): 主要针对家庭用户,提供常规的数据恢复功能。可以恢复各种…

计算机毕业设计SSM基于的高校学习资源共享系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: vue mybatis Maven mysql5.7或8.0等等组成,B…

项目管理工具软件Maven趣闻

版权声明 本文原创作者:谷哥的小弟作者博客地址:http://blog.csdn.net/lfdfhl Maven这个单词来自于意第绪语(Yiddish),这是一种与德语和希伯来语有密切关系的犹太民族语言。在这个语境中,Maven意为“知识的…

typescript环境搭建,及tsc命令优化

typescript typescript. 是一种由微软开发的 开源 、跨平台的编程语言。. 它是 JavaScript 的超集,最终会被编译为JavaScript代码。. TypeScript添加了可选的静态类型系统、很多尚未正式发布的ECMAScript新特性(如装饰器 [1] )。. 2012年10月…

面试:正确率能很好的评估分类算法吗

正确率(accuracy) 正确率是我们最常见的评价指标,accuracy (TPTN)/(PN),正确率是被分对的样本数在所有样本数中的占比,通常来说,正确率越高,分类器越好。 不同算法有不同特点,在不同…

c++类和对象新手保姆级上手教学(上)

前言: c其实顾名思义就是c语言的升级版,很多刚学c的同学第一感觉就是比c语言难学很多,其实没错,c里的知识更加难以理解可以说杂且抽象,光是类和对象,看起来容易,但想完全吃透,真的挺…