澳门新葡萄京官网注册 1

刚刚过去的这个周末,各位大数据和数据库从业者想必是被MongoDB的“安全事件”给刷屏了,MongoDB作为当前NoSQL在全球的领军人物,遭到这么大规模的黑客攻击,这也再次让我们对于新一代的开源数据库的数据安全问题产生了思考。而作为国内领先的新一代分布式数据库厂商,我们也来说说我们对这个事件的看法。

【Victor Gevers 的推特截图】

澳门新葡萄京官网注册 ,许多人没有想到,去年12月一件不起眼的小事,在新年伊始却演变成了一场屠杀。如今,受害的一方似乎正由于自身的疏忽和迟钝而显得愈发无力反抗,一个接一个倒下。

 

从 2016年 12 月 27 日到现在,Victor Gevers 一直在推特上频繁通告 MongoDB
数据库遭受勒索的情况。仅在当天,Victor Gevers
就公布了一个网址,可以查询其中一个勒索信函中收钱地址的比特币收入情况,下图为雷锋网(公众号:雷锋网)编辑在2017年1月13日点击链接后的查询情况,可以看到,如果按照上图中勒索一次需要缴纳
0.2 比特币赎金来计算,光这一个地址就有多人缴纳赎金。但是, 1 月 5
日,Victor Gevers
还欣喜地推文表示:没有人缴纳赎金,需要帮助的可以找他。

截止本周三(1月11日),已经有20名以上的黑客加入到这场对MongoDB用户一边倒的碾压中来,遭到入侵、勒索的数据库超过了33,000个,并且这一数字还在不断上升中。(源自凯捷咨询的Niall
Merrigan提供的数据)MongoDB是目前包括eBay,纽约时报,LinkedIn在内的全世界多家公司广泛采用的数据库。

事件回顾

澳门新葡萄京官网注册 2

澳门新葡萄京官网注册 3

此前,众多无需身份验证的开放式 MongoDB 数据库实例正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密,受害者必须支付赎金才能找回自己的数据。攻击者利用配置存在疏漏的开源 MongoDB 数据库展开了一系列勒索行为。此番针对 MongoDB 的勒索行为最早是由 GDI Foundation 的安全研究人员 Victor Gevers 在2016年12月27日发现的,在这之后影响陆续扩大,目前至少有五个不同黑客组织控制了上万个数据库实例。

事态十分严峻,仅在 2017年 1 月 3 日,就发展到近 2000 起。

源于0.2比特币的勒索

 

澳门新葡萄京官网注册 4

去年12月27日,安全专家兼GDI Foundation联合创始人Victor
Gevers(@0xDUDE)在Twitter上称由于存在配置漏洞,可不通过任何认证直接访问某些MongoDB数据库,而黑客早已盯上了这些目标。当时,第一波被黑的MongoDB数据库中,Gevers观察到数据内容被清空,黑客还留下了一条“WARNING”信息:

目前在Google Docs上有一个列表,其中列出了参与此次攻击的黑客组织名单,具体数量还在增加中。攻击者所要求支付的金额各异,最低仅0.15个比特币,但也有高达1个比特币的赎金。2017年至今,比特币的价值上下波动,截止1月6日,具体金额约等于892美元。

期间还爆出过赎金涨价,涨到了 0.5 比特币。

澳门新葡萄京官网注册 5

 

澳门新葡萄京官网注册 6

“SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND
CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE
!”

此次针对MongoDB的攻击非常简单,利用了配置有误且可公开访问的数据库,无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库,随后会全面夺取控制权并窃取或加密数据库,被勒索的受害者必须支付赎金才能找回自己的数据。

1月5日,Victor Gevers
公布了一个更加了不得的该类型勒索事件分布图,前方预警,出现了中国企业受害者!

意思就是:要求支付0.2比特币到指定地址用以还原数据。署名“Harak1r1”的黑客(或组织)大肆入侵了MongoDB数据库,清空里面的内容并向拥有者索要0.2比特币(约$211)的赎金,否则数据将不予归还。Gevers发现了这次攻击并随即在Twitter上警告了MongoDB数据库用户。遗憾的是,这份警告并没有引起MongoDB使用者足够的重视。而嗅觉敏锐的黑客们却迅速地围了上来,盛宴开始。

 

澳门新葡萄京官网注册 7

MongoDB屠戮全面开启

事件几点分析

随后,Victor Gevers
又进行了多次发布,多次出现了中国受害企业,最夸张的是,在1月8日,中国受害企业高达
238 家。

当时Gevers暂时只统计到了有近200个MongoDB数据库实例(instance)被黑客入侵当做勒索筹码。FreeBuf安全快讯对此进行了追踪报道,在1月3日,这个数字达到了2,000以上。接下来的日子里,攻击规模不断扩大,受害者数量急剧上升。仅在1月9日早间开始的12小时内,受到黑客勒索的数据库就从12,000个翻倍达到了27,633之多。

针对此次的MongoDB安全事件,业界的评判不一,而从一个数据库厂商的角度,我们认为主要的原因有一下几点:

澳门新葡萄京官网注册 8

参与其中的黑客数量也增加到至少15人以上,其中一位名为“kraken0”的黑客已经入侵了15,482个MongoDB数据库并向每位受害者索取了1比特币(约$921)赎金。尽管安全专家已经告诫众多MongoDB数据库用户不要向黑客支付赎金(很多黑客并不会如宣称的那样保留了数据,多数情况是直接删掉了),但已知仍有至少22个受害机构或个人缴纳了赎金。

 

雷锋网获得了中国受害企业的一手截图信息。

之所以会有如此众多的数据库实例被这次冲击迅速收割,主要是因为很多使用者没有遵照生产环境部署手册,缺少安全认证,直接将服务器暴露在公网里以及版本过于老旧。对于攻击者而言,使用在线工具就可以较轻松地发现存在问题的数据库。事实上,黑客还发掘到了另一个商机:他们有人开始贩卖用来攻陷数据库的软件赚钱。这种工具被称作“Kraken
Mongodb ransomware”,只要价值$200的比特币就可以买到该程序的C#源码。

1) 数据库用户的安全意识:本次攻击的原理并不复杂,基本属于把自己数据库的大门敞开,难免最终会被贼“光顾”。一方面,用户对于数据库特别是MongoDB这样的数据库新面孔并没有特别熟悉,因此在使用的过程中由于经验不足而没有注意数据库安全的设置。另一方面,一些用户会认为防火墙和数据中心的安全机制已经足够,不需要再管数据库的安全设置,最终“大意失荆州”。归集起来,原因主要还是用户对于数据库使用的经验不足。

澳门新葡萄京官网注册 9

产生如此后果的另一个重要原因是部分使用者安全意识淡薄,反应迟钝。作为最初发现者的Gevers就曾对SecurityWeek这样吐槽:

2) 黑客攻击后未有有效的警告:除了本身用户使用的大意,对于数据库安全的监控无论是厂商自己还是相关的机构都远未达到大家的预期。首先,早在15年有关MongoDB“裸奔”的消息放出后,无论是厂商还是业界都没有引起足够的重视,更没有有效的警告和提醒。其次,在本次大规模的攻击事件发生后,各方的反应也较慢,直到有媒体开始爆出消息才引起了厂商和用户群体的警惕。然而可以说是“为时已晚”。

澳门新葡萄京官网注册 10

“永远不要低估某些公司的反应有多么愚蠢,有些只是移除了勒索信息,还原了数据,却依旧让服务器门户大开。”

3) MongoDB的安全机制不完善:虽然本次安全时间并不是因为MongoDB程序自身的漏洞而遭到大规模攻击,但是作为厂商,产品用户遭到大规模的攻击和勒索,自己也是难逃其咎。总结起来主要有两个问题,一个是安全机制的不完善,也就是在使用中没有自动化的安全保护机制,如MongoDB在3.x之后更改了鉴权协议,而不兼容2.x版本协议,许多用户因为不愿升级而最终选择“裸奔”。另一个,MongoDB也没有能有效的提醒用户注意设置数据库权限,对于可能出现的“裸奔”情况,其并没有做好十足的提醒,保证用户必须设置好权限才可以使用,这也是造成本次事件的主要原因之一。

雷锋网注意到,该截图显示,赎金为 0.2
比特币,黑客收信地址已经与之前爆料的国外黑客收信地址不一样了,这是否意味着有可能新一波黑客或黑客组织发起了这次攻击?

Gevers有所怨言是不无道理的。作为安全专家,他长时间致力于数据库漏洞探测并会向企业提供风险报告。然而,他的预警却被许多公司视而不见,仅在去年一年就有138份相关报告石沉大海。即使他对这波攻击迅速做出了告警,却依然收效甚微。

 

召唤告诉雷锋网宅客频道,从他们获取的信息来看,几个受害者手里的黑客邮箱都不太一样,应该是由不同的黑客发出。

澳门新葡萄京官网注册 11

数据库安全的思考

但是,真的有中国企业缴纳赎金吗?召唤认为,

安全组织“ShadowServer”通过AISI(Australian Internet Security
Initiative)每天约提供400个MongoDB数据泄漏预警,服务澳洲90%的网络提供商

说了这么多,大家应该也比较关心怎么去预防类似问题的出现,我们也在这里给大家几点思考吧:

常见的就是把数据删了,或者加锁加密。支付了比特币后,有良心的会把数据备份还给你或者提供解密。如果云上对数据有相应的安全灾备机制,则无需过于担心。

暗潮涌动

1) 数据库安全十分重要:这次的事件提醒大家,数据库安全真的很重要。无论是资深的还是新人“小白”用户,都应该把数据库的安全提到一个重要的位置。用户们要注意数据库的安全保护,充分利用好数据库的安全机制,保护好自己的数据。避免这次MongoDB“裸奔”的情况出现。

此外,攻击者利用配置存在疏漏的开源MongoDB数据库展开了一系列勒索行为,国内的案例是利用的同样的漏洞吗?

轻视安全问题是要付出代价的。事实上MongoDB数据库泄漏问题早在2015年就被报导过。当时Shodan(搜索引擎)的负责人John
Matherly统计到有30,000个以上的MongoDB数据库实例,近600TB的数据暴露于公网之上,无需任何认证就可访问。很多版本滞后的数据库配置文件里没有做IP捆绑(bind_ip
127.0.0.1),在用户不甚了解的时候留下了安全隐患。虽然MongoDB的开发团队在下一个版本里修复了这个问题,但截止事发,仍然有数量众多的数据库管理者没来得及更新。

2) 企业用户需要专业的技术支持:对于数据量达到一定规模或者是保存的数据十分敏感、重要的企业用户,无论是数据库安全还是数据库的高效管理、高性能配置,我们认为最好都要寻求专业的厂商技术团队的支持。厂商专业的团队可以帮助企业更全面的使用和管理好自己的数据库平台,同时,厂商专业的团队也能给到用户最好最及时的数据库安全保护和漏洞修复服务,避免大规模数据库安全事故的发生。

一般是通过利用漏洞进行入侵,或者本身就存在配置缺陷。比如,命令执行、未授权访问等。例如,针对
elasticsearch 的勒索攻击则主要是利用了一个远程执行漏洞。 

这次勒索事件的一个显著后果就是世界范围内存储在MongoDB数据库里数据量的大幅下滑。据Merrigan提供的信息显示,在短短3天内就有114.5TB的数据因此消失。据估计,目前网上约有50,000个开放访问的MongoDB数据库,也许用不了多久所有没做好安全措施的数据库都会被黑客攻陷。这个过程需要多久?据Gevers估算,这个过程可能用不了几周。

3) 国产化与开源产品:虽然目前业界也有许多的海外开源产品,但是作为用户,如果在并不能完全了解这些技术的前提下使用开源架构,很可能也会面临使用上和管理上的一些盲点,造成出现数据库“裸奔”这样的失误。因此,国内的用户我们也认为可以考虑更多国产大数据架构,这样不仅产品更适合国内应用场景需求,在技术支持上相对海外的开源架构,更能给到原厂代码级别的服务支持。

为此,安全人士针对此类攻击提出的主要建议是:注重安全基线的日常检查,未授权和弱口令以及
xday
漏洞的及时修复,并辅以安全产品配套,白帽子的定期攻防演习进行反向验证等。

毫无疑问,黑客们的疯狂给人们敲响了警钟。现在应该会有很多人后悔了。

4) 厂商的产品服务:反过来,对于厂商,我们希望厂商也都能引以为戒,产品开发要更全面的考虑到用户的需求以及可能遇到的问题,同时对客户的服务响应上也要更加的及时,不要等到大规模的爆发了问题才引起重视。

稿源:雷锋网

澳门新葡萄京官网注册 12

 

现在补救还来得及

 

Gevers确认,目前已有来自包括IP,医疗,金融服务,旅游等行业在内的多家公司就此次攻击事件求助,但他不愿意透露求助企业的名称。他建议:有时一个数据库会被不同的黑客攻击多次,受害者很有可能把赎金给错了人,这更是一个无底洞。因此不仅不要支付赎金,更要想办法让攻击者证明丢失的数据是否还真实存在。Gevers表示,如果有适当的网络监控程序,可以判断丢失的数据是被转移了还是被直接删掉了。不过这样做需要把出站的数据流量同系统日志里的访问记录做多方面比较才行。

 

MongoDB官方建议如下:

                                                            
澳门新葡萄京官网注册 13

如何知道自己有没有受到攻击:

SequoiaDB巨杉数据库

  1. 如果已经为数据库正确配置了访问控制,攻击者应该访问不到数据,可参考安全手册()
  2. 验证数据库和集合。在最近的案例中,攻击者丢弃了数据库和/或集合,并用一个ransom需求的新的替换它们。
  3. 如果启用访问控制,请审核系统日志以进行未经授权的访问尝试或可疑活动。

SequoiaDB巨杉数据库是一款新一代的分布式NewSQL数据库,完全自主研发并且产品已经商业化开源。巨杉数据库的产品和服务能够切实保障用户的数据安全:

如果已经受到攻击:

  • 分布式高可用:完全的分布式架构,实现了数据的多副本与高可用,保证数据实时在线。
  • 容灾:巨杉数据库的跨数据中心异地容灾,保证企业的数据安全。
  • 7×24小时原厂技术支持:巨杉最专业的技术团队,为企业用户提供7×24的本地技术支持,加速企业用户的大数据业务,是您的大数据系统的坚强后盾。
  1. 如果您是MongoDB企业支持客户,请尽快提交P1订单,我们的技术服务工程师可以指导您完成以下过程。
  2. 您的首要任务是保护您的集群以防止进一步的未授权访问。您可以参照我们的安全实践文档。
  3. 通过运行 usersInfo 来检查是否有添加,删除或修改的用户。
  4. 检查日志以查找攻击的时间。检查是否有删库或者删表,修改用户或创建赎金记录的命令。
  5. 如果你有定期对受损数据库进行备份,则可以还原最近的备份。您需要评估最近的备份和攻击时间之间可能已更改的数据量。如果您使用Ops
    Manager或Cloud Manager进行备份,则可以恢复到攻击之前的时间点。
  6. 如果您没有备份或以其他方式无法还原数据,那么您的数据可能会永久丢失。
  7. 您应该假设攻击者已经复制了受影响的数据库的所有数据。请按照内部安全流程对数据泄露事件进行恰当处理。

 

最后,请参阅我们的安全最佳做法和资源,以便将来保护您的数据。

如何防范此类攻击?

  1. 做好访问认证。打开你的MongoDB配置文件(.conf),设置为auth=true
  2.  做好防火墙设置。建议管理者关闭27017端口的访问。
  3. Bind_ip,绑定内网IP访问。
  4. 做好升级。请管理者务必将软件升级到最新版本。

【编辑推荐】