独家报道丨黑客窃取MongoDB的数据,勒索受害者

GDI基金会的共同创始人Victor Gevers是在野外警告MongoDB安装的安全性差。 安全专家已经发现了196个MongoDB实例,它们被欺骗者擦除并被赎金。
一个通过在线昵称Harak1r1访问的黑客要求0.2 BTC,在当前交换中大约为200美元,以便恢复安装。 骗子还要求系统管理员通过电子邮件演示安装的所有权。
似乎看起来黑客正在关注开放的MongoDB安装,可能使用像Shodan这样的搜索引擎。
在12月27日,Gevers发现了一个MongoDB服务器,无需通过互联网进行身份验证即可访问。
“这个不像他在过去发现的情况一样。当他访问打开的服务器,而不是查看数据库的内容,表的集合,Gevers只找到一个名为“WARNING”的表。 “读取在bleepingcomputer.com上发布的博客帖子。
攻击者访问打开的MongoDB数据库,导出其内容,并用包含以下代码的表替换所有数据:
{ “_id” : ObjectId(“5859a0370b8e49f123fcc7da”), “mail” : “[email protected]”, “note” : “SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !” }“我能够确认[this],因为日志文件清楚地显示,它首先导出的日期,然后新的数据库与tablename警告创建,”Gevers告诉BleepingComputer。 “正在记录数据库服务器中的每个操作。
专家通知受害者他们的数据库被黑客:

【平安建设】海淀区检察院三项措施应对电信诈骗

“犯罪分子通常面向开放数据库来部署他们的活动,如数据窃取/赎金。 但我们也看到,像这样的开放式服务器用于托管恶意软件(如勒索软件),僵尸网络和在GridFS中隐藏文件,“他在发给受害者的通知信中写道。
查询Google的黑客电子邮件地址和比特币地址,可以验证许多其他用户是同一攻击者的受害者.Gevers建议阻止访问端口27017或限制访问服务器通过绑定本地IP为了保护MongoDB 安装。

北信源关于全资子公司取得涉密信息系统集成甲级资质证书的公告

MongoDB管理员也可以重新启动数据库与“-auth”选项后,他们已经分配用户访问。
下面的其他提示对MongoDB管理员有用:检查MongDB帐户以查看是否没有人添加了密码(admin)用户。
检查GridFS以查看是否有人存储任何文件。
检查日志文件以查看谁访问了MongoDB(show log global命令)。
2015年12月,流行专家和Shodan创作者John Matherly发现了通过脆弱的数据库在互联网上暴露了超过650太字节的MongoDB数据。

研究人员克里斯·维克里(Chris Vickery)发现互联网上暴露的开放MongoDB的其他骇人听闻的案例。
2015年12月,安全专家克里斯·维克里发现在线的美国选民的1.91亿条记录,在2016年4月,他还发现了一个132 GB的MongoDB数据库在线打开,包含9340万墨西哥选民记录。

思科连续三年领跑漏洞检测系统测试

2016年3月,克里斯维克里发现在线数据库 的Kinoptic iOS应用程序,这是开发人员抛弃的,有超过198,000个用户的细节。
Twitter首席技术官亚当·梅辛格宣布将辞职;国内首列无人驾驶地铁…
@悬镜安全,悬镜是一款免费Linux服务器安全软件,拥有风险诊断、网站防护、服务器加固、安全运维、云监控、Webshell查杀等功能.网站安全、服务器安全,首选悬镜!
首次关注悬镜安全实验室,长按下面二维码
关注之后,会出现下面提示
点击“使用悬镜”-“进入悬镜”,即可使用悬镜微信版管理端查看服务器数据详情
微信扫一扫关注该公众号
互联网的匿名性是让它成为孳生恶意留言的温床,发起匿名攻击的人能够躲过别人的反击。博客网站应负起删除恶意留言的责任,如果网站不作为,博客作者就要自行清理门户了。对付恶意留言的办法就是立刻直接删除,再发再删。

通过钓鱼邮件渗透目标组织中的关键员工,比如高管,获取机密邮件内容和电脑的远程控制权限,进一步发动对其它关键人员的攻击,获得关键系统的访问权限,进而窃取情报。

猜您喜欢

石祥芝渔港义务救援协会:海上安全守卫者
消费电子的普及迫使IT安全部门认真考虑移动设备的安全
网络安全意识动画片展播WIFI无线网络安全使用
菲律宾男孩患多齿症长300颗牙齿 已拔40颗(图)
XEMVN HOMEHUMIDIFIER
信息安全培训检验