信息來源：hackernews

在過去三周內(nèi)，超過12,000個(gè)不安全的MongoDB數(shù)據(jù)庫(kù)被刪除。黑客組織只留下一條消息：“聯(lián)系我們以恢復(fù)數(shù)據(jù)”。此前雖然沒有達(dá)到這種規(guī)模，但至少?gòu)?017年初開始，這些針對(duì)可公開訪問的MongoDB數(shù)據(jù)庫(kù)的攻擊已經(jīng)發(fā)生。

黑客們使用BinaryEdge或Shodan搜索引擎來查找暴露的數(shù)據(jù)庫(kù)服務(wù)器并刪除它們。要想恢復(fù)服務(wù)，就得支付贖金。雖然攻擊針對(duì)可遠(yuǎn)程訪問和不受保護(hù)的MongoDB數(shù)據(jù)庫(kù)，黑客在刪除它們之后要求支付勒索贖金以恢復(fù)數(shù)據(jù)，但這一系列舉措似乎并未要求特定的贖金數(shù)額。提供的電子郵件地址最有可能用來協(xié)商恢復(fù)數(shù)據(jù)的條款。安全研究員Sanyam Jain對(duì)此提供了一個(gè)非常合理的解釋，稱“黑客可能會(huì)根據(jù)數(shù)據(jù)庫(kù)的敏感度收取加密貨幣”。

黑客留下的聯(lián)系方式

研究人員使用BinaryEdge搜索引擎發(fā)現(xiàn)了由Unistellar黑客組織刪除的12,564個(gè)未受保護(hù)的MongoDB數(shù)據(jù)庫(kù)（Shodan報(bào)道的數(shù)量較少，為7,656個(gè)數(shù)據(jù)庫(kù)，可能是因?yàn)椴樵儽蛔柚梗?。根?jù)Jain所說，目前，BinaryEdge索引了超過63,000臺(tái)可公開訪問的MongoDB服務(wù)器，Unistellar黑客組織似乎已經(jīng)刪除了約20％。研究人員于4月24日首次注意到此類攻擊，當(dāng)時(shí)他發(fā)現(xiàn)了一個(gè)被刪除的MongoDB數(shù)據(jù)庫(kù)。不同于過去經(jīng)常發(fā)現(xiàn)的大量的泄露數(shù)據(jù)，其只包含以下信息：“想要恢復(fù)？聯(lián)系方式：unistellar@yandex.com?！?

使用BinaryEdge找到的被刪除的MongoDB數(shù)據(jù)庫(kù)

研究人員后來發(fā)現(xiàn)，在刪除數(shù)據(jù)庫(kù)后，黑客留下贖金票據(jù)。如果受害者想要恢復(fù)數(shù)據(jù)，向以下兩個(gè)電子郵件地址之一發(fā)送電子郵件：unistellar@hotmail.com 或unistellar@yandex.com。雖然尚不清楚黑客用什么方法來查找并刪除如此大量的數(shù)據(jù)庫(kù)，但整個(gè)過程很可能是完全自動(dòng)化的。

連接到其中一個(gè)未受保護(hù)的MongoDB數(shù)據(jù)庫(kù)后發(fā)現(xiàn)，黑客執(zhí)行此操作的腳本會(huì)不加區(qū)別地刪除每個(gè)不安全的MongoDB數(shù)據(jù)庫(kù)，然后添加贖金表。

正如Jain所說，Unistellar黑客組織似乎已經(jīng)創(chuàng)建了恢復(fù)點(diǎn)，以便恢復(fù)他們所刪除的數(shù)據(jù)庫(kù)。遺憾的是，無法追蹤受害者是否一直在為要恢復(fù)的數(shù)據(jù)庫(kù)付費(fèi)，因?yàn)閁nistellar只提供電子郵件地址，并不提供加密貨幣地址。

（各個(gè)國(guó)家被刪除的數(shù)據(jù)庫(kù)數(shù)量）

保護(hù)MongoDB數(shù)據(jù)庫(kù)

發(fā)生攻擊的原因是MongoDB數(shù)據(jù)庫(kù)可遠(yuǎn)程訪問且沒有得到正確的保護(hù)，因此數(shù)據(jù)庫(kù)所有者可以通過相當(dāng)簡(jiǎn)單的步驟來防止此類攻擊。MongoDB提供了有關(guān)如何通過實(shí)施適當(dāng)?shù)纳矸蒡?yàn)證、訪問控制和加密來保護(hù)MongoDB數(shù)據(jù)庫(kù)的詳細(xì)方法，還提供了一個(gè)安全檢查表供管理員遵循。防止攻擊的兩個(gè)最重要的措施是啟用身份驗(yàn)證且不允許遠(yuǎn)程訪問數(shù)據(jù)庫(kù)。