独家报道丨黑客窃取MongoDB的数据，勒索受害者

文章由悬镜小编翻译，转载请标注来源http://www.xmirror.cn/，独家报道。

GDI基金会的共同创始人Victor Gevers是在野外警告MongoDB安装的安全性差。 安全专家已经发现了196个MongoDB实例，它们被欺骗者擦除并被赎金。一个通过在线昵称Harak1r1访问的黑客要求0.2 BTC，在当前交换中大约为200美元，以便恢复安装。 骗子还要求系统管理员通过电子邮件演示安装的所有权。

似乎看起来黑客正在关注开放的MongoDB安装，可能使用像Shodan这样的搜索引擎。

在12月27日，Gevers发现了一个MongoDB服务器，无需通过互联网进行身份验证即可访问。

“这个不像他在过去发现的情况一样。当他访问打开的服务器，而不是查看数据库的内容，表的集合，Gevers只找到一个名为“WARNING”的表。 “读取在bleepingcomputer.com上发布的博客帖子。

攻击者访问打开的MongoDB数据库，导出其内容，并用包含以下代码的表替换所有数据：

{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }

“我能够确认[this]，因为日志文件清楚地显示，它首先导出的日期，然后新的数据库与tablename警告创建，”Gevers告诉BleepingComputer。 “正在记录数据库服务器中的每个操作。

专家通知受害者他们的数据库被黑客：

“犯罪分子通常面向开放数据库来部署他们的活动，如数据窃取/赎金。 但我们也看到，像这样的开放式服务器用于托管恶意软件（如勒索软件），僵尸网络和在GridFS中隐藏文件，“他在发给受害者的通知信中写道。

查询Google的黑客电子邮件地址和比特币地址，可以验证许多其他用户是同一攻击者的受害者.Gevers建议阻止访问端口27017或限制访问服务器通过绑定本地IP为了保护MongoDB 安装。

MongoDB管理员也可以重新启动数据库与“-auth”选项后，他们已经分配用户访问。

下面的其他提示对MongoDB管理员有用：

检查MongDB帐户以查看是否没有人添加了密码（admin）用户。

检查GridFS以查看是否有人存储任何文件。

检查日志文件以查看谁访问了MongoDB（show log global命令）。

2015年12月，流行专家和Shodan创作者John Matherly发现了通过脆弱的数据库在互联网上暴露了超过650太字节的MongoDB数据。

研究人员克里斯·维克里（Chris Vickery）发现互联网上暴露的开放MongoDB的其他骇人听闻的案例。

2015年12月，安全专家克里斯·维克里发现在线的美国选民的1.91亿条记录，在2016年4月，他还发现了一个132 GB的MongoDB数据库在线打开，包含9340万墨西哥选民记录。

2016年3月，克里斯维克里发现在线数据库 的Kinoptic iOS应用程序，这是开发人员抛弃的，有超过198,000个用户的细节。