Skip to main content

MongoDB安全性:保護和保護MongoDB數據庫免受勒索軟件攻擊

MongoDB安全性:保護和保護MongoDB數據庫免受勒索軟件攻擊

Geoffrey Carr

勒索軟件最近攻擊了一些不安全的MongoDB安裝並將數據保存到贖金。在這裡,我們將看到是什麼 MongoDB的 並查看一些可以保護和保護MongoDB數據庫的步驟。首先,這裡是MongoDB的簡要介紹。

什麼是MongoDB

MongoDB是一個開源數據庫,使用靈活的文檔數據模型存儲數據。 MongoDB與使用表和行構建的傳統數據庫不同,而MongoDB使用集合和文檔的體系結構。

在動態模式設計之後,MongoDB允許集合中的文檔具有不同的字段和結構。該數據庫使用名為BSON的文檔存儲和數據交換格式,該格式提供類似JSON的文檔的二進製表示。這使得某些類型的應用程序的數據集成變得更快,更容易。

勒索軟件攻擊MongoDB數據

最近,一位安全研究員Victor Gevers發推文說,對於安全性較差的MongoDB安裝,有一系列勒索軟件攻擊。這些攻擊於去年12月左右開始於2016年聖誕節左右,此後已經感染了數千台MongoDB服務器。

最初,Victor發現了200個MongoDB裝置,這些裝置遭到襲擊並被勒索贖金。然而,正如另一位安全研究員,Shodan創始人John Matherly所報告的那樣,受感染的裝置很快就飆升至2000個DB,並且在1月末ST 2017年,受感染系統的數量超過27,000。

贖金要求

初步報告顯示,攻擊者要求獲得0.2比特幣(約184美元)作為贖金,由22名受害者支付。目前,攻擊者增加了贖金金額,現在要求1比特幣(約906美元)。

自披露以來,安全研究人員已經確定超過15名黑客參與劫持MongoDB服務器。其中,攻擊者使用電子郵件句柄 kraken0 具有 損壞了超過15,482個MongoDB服務器 並且要求1比特幣返回丟失的數據。

到目前為止,被劫持的MongoDB服務器已增長超過28,000台,因為更多的黑客也在做同樣的事情,即為Ransom訪問,複製和刪除配置不當的數據庫。此外,之前參與Windows Ransomware分發的Kraken也加入進來。

MongoDB Ransomware如何潛入

可以通過互聯網訪問但沒有密碼的MongoDB服務器是黑客攻擊的目標。因此,選擇運行其服務器的服務器管理員 沒有密碼 和僱用 默認用戶名 很容易被黑客發現。

更糟糕的是,存在相同服務器的實例 被不同的黑客組織重新入侵 他們一直在用自己的贖金取代現有的贖金票據,使受害者無法知道他們是否支付了正確的罪犯,更不用說他們的數據是否能夠得到恢復。因此,無法確定是否會返回任何被盜數據。因此,即使您支付了贖金,您的數據仍可能會消失。

MongoDB安全性

它必須是服務器管理員必須為訪問數據庫分配強密碼和用戶名。建議使用默認安裝MongoDB的公司 更新他們的軟件,設置身份驗證和 鎖定端口27017 這是黑客最多的攻擊目標。

保護MongoDB數據的步驟

  1. 實施訪問控制和身份驗證

首先啟用服務器的訪問控制並指定身份驗證機制。身份驗證要求所有用戶在連接到服務器之前提供有效憑據。

最新的 MongoDB 3.4 release允許您在不受保護的系統中配置身份驗證,而不會導致停機。

  1. 設置基於角色的訪問控制

不是提供對一組用戶的完全訪問權限,而是創建角色,以定義一組用戶所需的確切訪問權限。遵循最小特權原則。然後創建用戶並僅為他們分配執行操作所需的角色。

  1. 加密通信

加密數據很難解釋,並且沒有多少黑客能夠成功解密它。配置MongoDB以對所有傳入和傳出連接使用TLS / SSL。使用TLS / SSL加密MongoDB客戶端的mongod和mongos組件之間以及所有應用程序和MongoDB之間的通信。

使用MongoDB Enterprise 3.2,可以將WiredTiger存儲引擎的原生加密靜態配置為加密存儲層中的數據。如果您沒有使用WiredTiger,靜態加密,則應使用文件系統,設備或物理加密在每台主機上加密MongoDB數據。

  1. 限製網絡曝光

要限製網絡暴露,請確保MongoDB在受信任的網絡環境中運行。管理員應僅允許受信任的客戶端訪問MongoDB實例可用的網絡接口和端口。

  1. 備份您的數據

MongoDB Cloud Manager和MongoDB Ops Manager通過即時恢復提供持續備份,用戶可以在Cloud Manager中啟用警報,以檢測其部署是否為Internet暴露

  1. 審計系統活動

審計系統會定期確保您了解數據庫的任何不規則更改。跟踪對數據庫配置和數據的訪問。MongoDB Enterprise包含一個系統審計工具,可以在MongoDB實例上記錄系統事件。

  1. 使用專用用戶運行MongoDB

使用專用的操作系統用戶帳戶運行MongoDB進程。確保該帳戶具有訪問數據但沒有不必要權限的權限。

  1. 使用安全配置選項運行MongoDB

MongoDB支持為某些服務器端操作執行JavaScript代碼:mapReduce,group和$ where。如果不使用這些操作,請在命令行上使用-noscripting選項禁用服務器端腳本。

在生產部署中僅使用MongoDB有線協議。保持輸入驗證。默認情況下,MongoDB通過wireObjectCheck設置啟用輸入驗證。這確保了mongod實例存儲的所有文檔都是有效的BSON。

  1. 索取安全技術實施指南(如適用)

“安全技術實施指南”(STIG)包含美國國防部內部署的安全準則。 MongoDB Inc.根據要求提供其STIG,以滿足需要的情況。您可以索取副本以獲取更多信息。

  1. 考慮安全標準合規性

對於需要HIPAA或PCI-DSS合規性的應用程序,請參閱MongoDB安全參考架構 這裡 了解有關如何使用關鍵安全功能構建合規應用程序基礎架構的更多信息。

如何確定您的MongoDB安裝是否被黑客攻擊

  • 驗證您的數據庫和集合。黑客通常會丟棄數據庫和集合,並用新的替換它們,同時要求對原始數據進行贖金
  • 如果啟用了訪問控制,請審核系統日誌以查找未經授權的訪問嘗試或可疑活動。查找丟棄數據,修改用戶或創建贖金需求記錄的命令。

請注意,即使您已支付贖金,也無法保證您的數據將被退回。因此,在攻擊後,您的首要任務應該是保護您的群集,以防止進一步的未經授權的訪問。

如果您進行備份,那麼在還原最新版本時,您可以評估自最近一次備份以來的數據可能發生了哪些更改以及攻擊時間。更多信息,您可以訪問 mongodb.com.

Link
Plus
Send
Send
Pin