幾日前,DB-Engines發(fā)布了2016年DBMS榜單,MongoDB遺憾敗北無緣前三甲。近日,MongoDB數(shù)據(jù)庫實例遭受多個黑客組織攻擊的事件又被刷爆朋友圈,眾多用戶的數(shù)據(jù)庫內(nèi)容被加密,必須支付贖金才能重新找回數(shù)據(jù),這個冬天對于MongoDB來說,真是多事之秋啊。
MongoDB黑客贖金事件始末
2015年底,有專家指出至少35000萬個MongoDB數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)上,近684.8T的數(shù)據(jù)在裸奔。據(jù)統(tǒng)計,今年1月Shodan上暴露在公網(wǎng)的MongoDB數(shù)據(jù)庫多達(dá)47000個。著名安全專家John Matherly觀察,不安全數(shù)據(jù)在以可怕的速度增加,從2015年7月到12月,短短四個月的時間不安全數(shù)據(jù)庫實例增加了5000。Matherly在2015年就提出了這些裸露數(shù)據(jù)存在著巨大風(fēng)險的論述。
果不其然,2016年12月27日,GDI Foundation 的安全研究人員 Victor Gevers首次發(fā)現(xiàn)了攻擊者利用配置存在紕漏的開源數(shù)據(jù)庫MongoDB展開了勒索行為。自稱Harak1r1 的黑客組織將網(wǎng)絡(luò)上公開的MongoDB資料庫中的資料匯出,并將MongoDB服務(wù)器上的資料移除,然后向數(shù)據(jù)庫所有人索取0.2個比特幣(約208美元)的贖金。據(jù)悉,Harak1r1在短短幾天的時間內(nèi)攻擊了2000多個MongoDB數(shù)據(jù)庫,并有十多個所有人已支付贖金。
▲黑客發(fā)布的贖金要求
Harak1r1的攻擊行為似乎點燃了黑客的攻擊本能,眾多鬣狗一下子圍了上來,own3d(干掉了近千個數(shù)據(jù)庫,贖金金額為0.5個比特幣)、0704341626asdf(據(jù)統(tǒng)計干掉了至少740個數(shù)據(jù)庫,贖金金額為0.15個比特幣)、kraken0、3lix1r(這兩個為后來者,但攻擊速度不容小覷)。目前,MongoDB黑客攻擊事件已經(jīng)是一場大亂斗了,甚至還出現(xiàn)了黑客篡改其它黑客勒索信的情況。
MongoDB官方如何回應(yīng)
MongoDB數(shù)據(jù)庫被攻擊事件愈演愈烈,甚至BBC也報道了該事件,美國MongoDB也針對此事件正式做出了回應(yīng):
最近有報告稱,網(wǎng)絡(luò)上有一些黑客惡意攻擊在互聯(lián)網(wǎng)上公開運行的MongoDB數(shù)據(jù)庫。攻擊者號稱在備份了數(shù)據(jù)后刪除了整個數(shù)據(jù)庫,并要求被攻擊者支付贖金以還原被刪除的數(shù)據(jù)。其實這些攻擊完全可以通過MongoDB中內(nèi)置的完善的安全機制來預(yù)防,只要您按照我們的安全文檔正確使用這些功能就可以避免攻擊事件的發(fā)生。
默認(rèn)情況下,最受歡迎的MongoDB(RPM)安裝程序會把對MongoDB實例的訪問限制到localhost。如果您通過其他方式安裝,也可以使用此配置。MongoDB Cloud Manager和MongoDB OpsManager提供連續(xù)備份與時間點恢復(fù),用戶可以啟用告警,以檢測其部署是否暴露于互聯(lián)網(wǎng)。
最新的MongoDB 3.4版本可以讓您在不停機狀態(tài)下啟用身份驗證。MongoDB Atlas,MongoDB官方提供的MongoDB云數(shù)據(jù)庫服務(wù)為您的數(shù)據(jù)庫提供多個級別的安全性。這些功能包括強大的訪問控制,使用Amazon VPC和VPC Peering的網(wǎng)絡(luò)隔離,IP白名單,使用TLS / SSL的數(shù)據(jù)加密以及底層文件系統(tǒng)的靜態(tài)加密。
另外,我們鼓勵經(jīng)歷過MongoDB安全事件的用戶創(chuàng)建漏洞報告。如果您有興趣了解有關(guān)安全最佳做法的更多信息,請閱讀我們的安全架構(gòu)白皮書。
下面筆者來總結(jié)一下官方回應(yīng)的內(nèi)容:1.被攻擊的MongoDB數(shù)據(jù)庫都是沒有按照安全文檔正確配置的;2.MongoDB新版本提供多個級別的安全性,用戶只要升級就可不受攻擊;3.如果你已經(jīng)被攻擊了,歡迎你創(chuàng)建漏洞報告,方便我們完善漏洞。
如何避免這樣的事件再次發(fā)生
雖然,安全事件屢有發(fā)生,但是并沒有真正的引起人們的注意,大多數(shù)人對于安全還是抱有僥幸心理,此次MongoDB黑客贖金事件再次給我們敲響了警鐘,如果你不重視安全,那么事實總會給你迎頭一擊的。
MongoDB事件其實也暴露出了安全問題的短板其實是用戶,首先用戶對于數(shù)據(jù)庫的安全不重視,其次用戶在使用過程中可能沒有養(yǎng)成定期備份的好習(xí)慣,最后是企業(yè)可能缺乏有經(jīng)驗和技術(shù)的專業(yè)人員。
對于已經(jīng)遭受到攻擊的用戶,MongoDB官方也給出了具體的解決方法:首要任務(wù)是保護(hù)您的集群以防止進(jìn)一步的未授權(quán)訪問,然后通過運行usersInfo來檢查是否有添加,刪除或修改的用戶,檢查日志以查找攻擊的時間,檢查是否有刪庫或者刪表,修改用戶或創(chuàng)建贖金記錄的命令。如果用戶有定期備份的習(xí)慣,那么再好不過了,因為只要還原最新備份即可,如果沒有備份,那么數(shù)據(jù)可能會永久丟失。
寫在最后的話:
雖然,MongoDB黑客贖金事件讓很多用戶蒙受了損失,但也不失為一件好事,在產(chǎn)生更多更嚴(yán)重的安全事件之前,為企業(yè)敲響了警鐘。居安思危,這個世界沒有絕對的安全,絕不能放松警惕,畢竟這世上有太多的“有心人”了。