9月5日,国家网络与信息平安信息通报中心发布预警通报,称作为全球最流行Nosql数据库之一的MongoDB数据库再次遭到黑客勒索攻击.

据外媒报道：黑客团伙劫持了MongoDB逾 26000 多台服务器,其中规模最大的一组超过 22000 台.

据国家网络与信息平安信息通报中心监测发现,近期国内外部分重要行业和部门发生了针对MongoDB数据库的勒索事件.国家网络与信息平安信息通报中心要求各地迅速排查,一旦发现勒索事件及时上报.

“MongoDB启示录”再临?

此次攻击由平安专家Dylan Katz和Victor Gevers发现,被他们称为是“MongoDB启示录”的延续.所谓的“MongoDB启示录”事件始于 2016 年 12 月底,并持续到 2017 年的头几个月.

据悉,有多个黑客组织参与了此次攻击,他们劫持服务器后,用勒索程序替换了其中的正常内容.外媒称,大多数被攻破的数据库都在使用测试系统,其中一部分可能包含重要生产数据.

这些黑客组织利用MongoDB数据库未授权访问漏洞,劫持服务器后批量对存在漏洞的数据库进行“删库”操作并留下联系方式,以此勒索用户支付赎金.

针对上述情况,国家网络与信息平安信息通报中心建议采取以下防范措施：

修改数据库默认端口或将数据库部署在内网环境中,将MongoDB数据库默认端口(TCP 27017)修改为其他端口；开启MongoDB数据库访问授权；使用SSL加密功能；使用“--blind_ip”选项,限制监听接口IP；开启数据库日志审计功能,记录所有数据库操作；及时做好重要数据备份工作.

三个新的黑客团伙浮出水面

平安专家们使用Google Docs电子表格追踪了本次攻击,总计超过 45000 多个数据库被攻破(有可能更多).其实除了MongoDB以外,另外几个著名的数据库也并未幸免,ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL的服务器也都曾遭到过劫持.

今年春夏之交,曾喧嚣一时的攻击团伙逐渐消声遗迹,被劫持的服务器数量也呈下降趋势.可就在上周,新出现的三个黑客组织再次发难,平安专家们通过赎金票据定位了他们的电子邮箱.

攻击者数量减少,但危害不降反升

这次攻击事件的发现者Victor Gevers在采访中提到：

虽然攻击者的数量有所减少,但每次攻击的破坏性却在逐步上升(被劫持的服务器数量只高不低).现在我们得仔细研究研究了,到底是技能缺失还是平安意识不足?为什么数据库系统会持续在老旧版本运行?还是说存在哪些尚未被我们发现的潜伏漏洞?

Gevers还表示,他必须引进一批外部专家来协助分析MongoDB问题.

内容整理于FreeBuf、网信浙江、国家网络与信息平安信息通报中心