通过quake分析mongodb被勒索情况
一、mongodb数据被勒索情况介绍
黑客利用了Mongodb未授权访问漏洞,批量的对可操作的数据库进行了“删库”操作,并留下自己的联系方式,要挟用户使用比特币支付赎金换回数据。
过去3个月中全网存在22088个mongodb存未授权访问,这些mongodb中,有12140个存在被勒索的情况,被勒索的mongodb占存在未授权访问mongodb的百分之54.96。攻击者删除了未授权mongodb数据库中的数据,并在READ__ME_TO_RECOVER_YOUR_DATA库中留下自己的联系方式,要挟用户支付比特币赎金换回数据。
在黑客勒索数据库后,并删除了数据库,新建了READ__ME_TO_RECOVER_YOUR_DATA表,留下了这么一段话:
All your data was backed up. You need to email us at rambler+1twn1@onionmail.org to recover your data. (more information: go tohttps://cutt.ly/11recdb) ALLWAYS CHECK YOUR SPAM FOLDER! OR YOU MAY MISS OUR MAILSIf you dont answer we will leak and expose all your data and in 48hs delete it forever from our server.
访问URLhttps://cutt.ly/11recdb,黑客留下这么一段文字,大意为发0.035比特币给地址为17An5PGTA7PYXaiiqPpZDMHyFBdM1qfpB 、并威胁不给钱数据将会在黑产市场中披露。
To retrieve your data, a 0.035 Bitcoin payment is required to address 17An5PGTA7PYXaiiqPpZDMHyFBdM1qfpB
截止到2023年6月6日,黑客暂未收到任何比特币转账。
二:全网被勒索的mongodb数据库态势感知
输入检索语法:
service.mongodb.authentication:false AND response:"READ__ME_TO_RECOVER_YOUR_DATA"
统计近三个月全网被勒索的mongodb数据如下图:
三、国内受影响情况
近三个月内,中国存在7817个ip收到了勒索攻击,其中勒索攻击受到影响最严重的为上海、北京、广东和浙江省。
四、国外受影响情况
近三个月内,国外受影响最多的国家是美国、德国、印度,被勒索的数量分别为1672、549、426个ip。
五、mongodb未授权访问修复方案
1、修改默认端口或将MongoDB部署在内部网络中
修改默认的MongoDB端口(默认为:TCP 27017)为其他端口。
2、开启 MongoDB授权
> use admin
3、使用SSL加密功能
4、使用–bind_ip选项
该选项可以限制监听接口IP, 当在启动MongoDB的时候,使用 -bind_ip 192.168.0.1表示启动ip地址绑定,数据库实例将只监听192.168.0.1的请求。
5、开启日志审计功能
审计功能可以用来记录用户对数据库的所有相关操作。
6、做好数据备份
使用不同的硬盘以及异地备份数据等备份策略,减少数据丢失造成的损失。
六、 总结
使用quake网络空间测绘测绘系统,可以发现指定时间内mongodb被勒索的情况,以及国内外网络空间中被勒索的mongodb.
随着勒索软件的流行,随着虚拟货币的增值,黑客通过网络攻击进行获利提供了变现渠道,越来越多的正面暴力攻击正在变得常态化,希望各个厂商、开发者能够重视此类问题,经常备份数据,避免损失。
