注意你的数据库, 可能是勒索病毒的下一个目标 !

近日,腾讯云安全中心情报侧监控显示,目前云上部分用户MongoDB、ElasticSearch和CouchDB等DB服务器仍然存在的未授权安全漏洞,黑客可利用此类漏洞发起新一轮勒索攻击,会导致您的服务器中的数据被擦除,并被索要赎金,同时网站服务器有被入侵控制等风险。

为避免您的业务受影响,防止被恶意攻击者勒索索要赎金,腾讯云安全中心建议您及时对照自身数据库服务应用开展安全自查和加固,加固建议如下:

MongoDB未授权访问

1.【风险描述】:

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库。

2.【修复建议】:

临时方案:

配置AUTH,做好访问认证。打开MongoDB配置文件(.conf),设置为auth=true;

修改访问端口和指定访问ip。使其只监听私有IP(或本地IP),不监听任何公网IP或DNS;

官方方案:具体可参考:https://docs.mongodb.com/manual/security/

CouchDB未授权访问

1.【风险描述】:

CouchDB会默认会在5984端口开放Restful的API接口,用于数据库的管理功能。任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查,其中通过API修改local.ini配置文件,可进一步导致执行任意系统命令,获取服务器权限!

2.【修复建议】:

1)为CouchDB设置复杂密码(字符串,数字,特殊字符),并且长度超过16位;

2)修改默认的用户名,CouchDB默认用户名为admin,请对其进行修改;

3)做好网络隔离。不开启外网访问。

Elasticsearch未授权访问

1.【风险描述】:

Elasticsearch会默认会在9200端口对外开放,用于提供远程管理数据的功能。任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查。

2.【修复建议】:

1)增加验证,官方推荐并且经过认证的是shield插件,也可使用elasticsearch-http-basic,searchguard插件;

2)使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证;

3)如果是单台部署的Elasticsearch,9200端口不要对外开放;

4)使用1.7.1以上的版本;

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

平台安全之中间件安全

一次web访问的顺序,web浏览器->web服务器(狭义)->web容器->应用服务器->数据库服务器

740
来自专栏bboysoul

搭建kms服务器来激活windows(vlmcsd)

之前一直不知道怎么去完美的激活windows系统,直到知道了这个,网上的激活软件真的我靠激活后可能会有一大堆垃圾软件在后台下载,算了不说了windows就是这个...

2632
来自专栏FreeBuf

主动欺骗蜜罐系统Beeswarm简介

Beeswarm是一个主动蜜罐系统,通过部署一些模拟真实用户的节点与蜜罐系统通信,从而引诱窃听了这些会话的攻击者攻击蜜罐系统,以捕获发现攻击。 一、介绍 蜜罐系...

2358
来自专栏jessetalks

Open ID Connect(OIDC)在 ASP.NET Core中的应用

我们在《ASP.NET Core项目实战的课程》第一章里面给identity server4做了一个全面的介绍和示例的练习 ,这篇文章是根据大家对OIDC遇到的...

3088
来自专栏FreeBuf

NSA武器库之Eternalchampion(永恒冠军)复现

准备工作 攻击机1:带有漏洞利用工具集的XP,并且此次需要准备好WinHex, IP 172.26.97.35 攻击机2:Kali, IP 172.26.97....

2276
来自专栏奇梦博客

盗链问题何时休,网站如何配置防盗链功能有效杜绝盗图行为

如今很多搬运工直接复制搬运原创网站的内容,让原创作者很头痛,本文来聊聊通过服务器配置杜绝盗取行为!

49715
来自专栏FreeBuf

老司机教你部署Cowrie蜜罐

0.蜜罐分类: 低交互:模拟服务和漏洞以便收集信息和恶意软件,但是攻击者无法和该系统进行交互; 中等交互:在一个特有的控制环境中模拟一个生产服务,允许攻击者的部...

2606
来自专栏智能合约

centos之SSH安装

1263
来自专栏FreeBuf

新手福利 | Burpsuite你可能不知道的技巧

一年一度的Burpsuite过期的时间又到了,Burpsuite作为Web安全者必不可少的一件神器,其实有很多实用的技巧,本篇文章的目的是抛砖引玉,通过分享一些...

19210
来自专栏liulun

基于QT的webkit与ExtJs开发CB/S结构的企业应用管理系统

一:源起 1.何为CB/S的应用程序     C/S结构的应用程序,是客户端/服务端形式的应用程序,这种应用程序要在客户电脑上安装一个程序,客户使用这个程序与...

2168

扫码关注云+社区