前言

朋友发来一张图片，说MongoDB数据库被勒索了，问我是哪个家族的......

（上图来源于网络)，当笔者看到朋友发的图片之后，判断应该是黑客入侵了MongoDB数据库服务器，然后删除了数据库里面的数据，再写入勒索提示信息，进行勒索攻击，其实MongoDB数据库被勒索早就不是什么新鲜事了，之前国内外基本上每年都有过相关的报道，然而这还是没有引起足够的重视，可见国外内各企业的安全意识还有待提高，现在网络安全事件真的是太多了，各种网络安全威胁更是无处不在，全球黑客组织无时无刻不在寻找的新的攻击目标，也许下一个就是你！

漏洞研究

01 勒索攻击

为什么黑客能够进入MongoDB数据库，然后删除数据库里的文件，并留下上面的勒索提示信息呢？黑客是通过什么方式进入MongoDB数据库的？

主要原因就是MongoDB数据库存在未授权访问漏洞，开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作（增删改高危动作）而且可以远程访问数据库。

02 漏洞成因

在初始安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息！当admin.system.users一个用户都没有时，即使mongod启动时添加了—auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以—auth 参数启动),直到在admin.system.users中添加了一个用户。加固的核心是只有在admin.system.users中添加用户之后，mongodb的认证,授权服务才能生效。

03 漏洞修复

针对该漏洞，可以在网上搜索找到很多相关的修复方案，如下：

1. 做好访问认证。打开你的MongoDB配置文件（.conf），设置为auth=true

2. 做好防火墙设置。建议管理者关闭27017端口的访问。

3. Bind_ip，绑定内网IP访问。

4. 做好升级。请管理者务必将软件升级到最新版本。

可以自行搜索修复，同时还可以参考国内某厂商之前发布的《MongoDB数据库未授权访问漏洞防御最佳实践》。

安全威胁

MongoDB数据库被勒索已经不是什么新鲜事了，早在2017年就曾有超过三万多台企业的MongoDB数据库被入侵勒索，就在去年年中，ZDNet也曾报道，2.29 万在网上暴露的 MongoDB 数据库被黑客勒索。据悉，某黑客利用一个自动化脚本扫描配置错误的 MongoDB 数据库，删除数据库中的内容，然后留下一条勒索信息，要求用户支付 0.015 比特币（相当于 140 美元），如下所示：

其实MongoDB数据库被勒索，从2017年到现在一直从没有停止过，笔者通过相关网站查询monogdb数据库，发布还有很多暴露在公网上的mongodb数据库服务器，如下所示：

这些暴露的Monogdb数据库还有多少存在未授权访问漏洞的？黑客组织估计每天都在扫描全球的网络设备，然后植入传播各种恶意软件或进行勒索病毒攻击，安全意识很重要，就像笔者上篇所说的，随着云计算的发展，云服务器会成为黑客组织未来攻击的下一个重要目标，全球各种黑客组织会对暴露在公网上的云计算的VPS、ECS、虚拟主机、数据库服务器等进行扫描，同时会对一些服务器托管服务商和运营商进行定向攻击。

总结

此次的勒索病毒攻击事件与之前不一样，之前主要是通过植入勒索病毒恶意软件，对系统中重要的文件数据进行加密勒索，这次勒索病毒攻击主要是通过入侵暴露在公网上的存在漏洞的MongoDB数据库服务器，进行勒索攻击，勒索病毒攻击可以说是无处不在了，攻击方式也是多种多样，之前还有其他类型的数据库服务器也曾被勒索攻击过，有些同样使用未授权漏洞，有些通过暴力破解等方式攻击暴露在公网中的数据库服务器，然后进行勒索，全球每天都有企业被勒索病毒黑客组织勒索攻击，同时其他各种网络安全威胁事件也是频频发生，有太多安全事件需要关注，有太多的威胁需要发现，未来网络安全威胁事件会越来越多，做安全，现在才刚刚开始，未来安全，谁与争锋，安全的路还很长，不忘初心。