注意你的数据库, 可能是勒索病毒的下一个目标 !

近日,腾讯云安全中心情报侧监控显示,目前云上部分用户MongoDB、ElasticSearch和CouchDB等DB服务器仍然存在的未授权安全漏洞,黑客可利用此类漏洞发起新一轮勒索攻击,会导致您的服务器中的数据被擦除,并被索要赎金,同时网站服务器有被入侵控制等风险。

为避免您的业务受影响,防止被恶意攻击者勒索索要赎金,腾讯云安全中心建议您及时对照自身数据库服务应用开展安全自查和加固,加固建议如下:

MongoDB未授权访问

1.【风险描述】:

开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库。

2.【修复建议】:

临时方案:

配置AUTH,做好访问认证。打开MongoDB配置文件(.conf),设置为auth=true;

修改访问端口和指定访问ip。使其只监听私有IP(或本地IP),不监听任何公网IP或DNS;

官方方案:具体可参考:https://docs.mongodb.com/manual/security/

CouchDB未授权访问

1.【风险描述】:

CouchDB会默认会在5984端口开放Restful的API接口,用于数据库的管理功能。任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查,其中通过API修改local.ini配置文件,可进一步导致执行任意系统命令,获取服务器权限!

2.【修复建议】:

1)为CouchDB设置复杂密码(字符串,数字,特殊字符),并且长度超过16位;

2)修改默认的用户名,CouchDB默认用户名为admin,请对其进行修改;

3)做好网络隔离。不开启外网访问。

Elasticsearch未授权访问

1.【风险描述】:

Elasticsearch会默认会在9200端口对外开放,用于提供远程管理数据的功能。任何连接到服务器端口上的人,都可以调用相关API对服务器上的数据进行任意的增删改查。

2.【修复建议】:

1)增加验证,官方推荐并且经过认证的是shield插件,也可使用elasticsearch-http-basic,searchguard插件;

2)使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证;

3)如果是单台部署的Elasticsearch,9200端口不要对外开放;

4)使用1.7.1以上的版本;

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

用ESP8266无线模块进行钓鱼渗透测试

*本文原创作者:hacker by ljh,本文属FreeBuf原创奖励计划,未经许可禁止转载

513
来自专栏Java职业技术分享

Spring Boot 面试题精华

Spring Boot 是微服务中最好的 Java 框架. 我们建议你能够成为一名 Spring Boot 的专家.

914
来自专栏散尽浮华

SVN和Git对比梳理

在日常运维工作中,经常会用到版本控制系统,目前用到最广泛的版本控制器就是SVN和Git,那么这两者之间有什么不同之处呢? SVN(Subversion)是集中式...

2036
来自专栏Python

linux目录结构详细介绍

1653
来自专栏七夜安全博客

你不知道的 HTTPS中间人攻击

研究生毕业了,好好给自己放了个假期,休息了两周,文章博客都没有更新。从大学开始基本上没过暑假,匆匆忙忙的。再过两天,就要去腾讯工作了,做了自己喜欢的网络安全,重...

403
来自专栏FreeBuf

XDB缓冲区溢出漏洞竟然可以颠覆整个数据库?

本文将向大家展示一种黑客入侵数据库的方法,希望能引起大家的警惕。想知道黑客入侵数据库的方法首先要深究黑客入侵数据库的目的。 经过调查发现黑客入侵者入侵数据库的最...

1796
来自专栏FreeBuf

看我如何利用打印机窃取目标系统哈希值

背景 这是我今年早些时候接手的一个渗透测试项目,我要做的是获取到目标系统的控制权限。但在后渗透测试阶段,我仅仅只发现了一台与目标内网无任何关联的计算机,这也使我...

1858
来自专栏IT笔记

ELK日志监控平台告警升级(邮件+钉钉)

1304

rsync简介

Rsync是一个命令行实用程序,它将文件和文件夹从一个位置同步到另一个位置。可以使用rsync实现的一些工作流程是从开发计算机更新生产主机,或使用cron作业调...

482
来自专栏云端架构

【云端架构】网站遇到问题官方文档看不懂临时排查引导

网站遇到问题第一反应是查源站其次找官方文档,若文档找不到再去提工单最后实在解决不了才会打400电话找攻城狮。今天和大家分享的是如何自检自查,因为官方文档存在缺陷...

4527

扫码关注云+社区