从MongoDB开始到MySQL,黑客瞄准了数据库服务,通过黑客手段获取数据库服务的权限,然后删除数据,在数据库中插入勒索信息,要求支付比特币以赎回数据(可见扩展阅读)。那么黑客是如何实现这整个过程? MongoDB勒索事件在MongoDB的勒索事件里,黑客攻击通过攻击存在未授权访问问题的MongoDB数据库,加密原数据内容,在数据库中插入勒索信息,要求支付比特币以赎回数据。 而细化到具体的探测目标和Exp的功能,以MongoDB数据勒索这个例子,探测目标主要是探测互联网上开放了27017端口的目标,然后进一步探测是否可以未授权直接连接目标:而攻击脚本的功能大概是这样的:就MongoDB 最简单粗暴的方式,就是拿着攻击脚本通过分布式、自动化的方式全部攻击一遍,当然这个量就有点大,所以更合理的方式是探测符合的目标,比如MongoDB那个事件,需要探测存在MongoDB的服务器,也就是探测端口 讲到最后,其实大家可以发现,不仅仅是数据勒索,这其实更多的是一种通用的漏洞自动化攻击利用的流程,唯一的区别在不同的漏洞能够获取的权限不同,对应的在获取到权限后能做的事也不同,所以就存在对应的利用,比如数据勒索
3 了解勒索软件攻击的流程既然已经知道如何减少来自网络的威胁,让我们来看看勒索软件攻击是如何工作的。 那么,勒索软件攻击究竟是如何工作的呢?虽然它们在执行上可能有所不同,但是大多数攻击都有一些共同的元素。这里是一个典型的勒索软件攻击是如何工作的快速纲要。3.1 攻击准备这是恶意软件进入目标网络的阶段。 绝大多数勒索软件的尝试都源自网络钓鱼攻击,这种攻击使用带有恶意内容,看上去经过认证的电子邮件。基于web的攻击:下载脚本和未注册的软件、跨站点脚本攻击、受感染的广告和社交媒体入侵是这里的入口点。 某些情况下(比如MongoDB),它会完全删除它们。之后,用户会收到一封勒索信,告诉他们把一些钱(通常是比特币,因为它们无法追踪)发送到一个地址,然后通过电子邮件跟进,让他们的系统解锁。 或者,如果他们很聪明,只需使用备份副本恢复他们的系统。你应该知道,在支付赎金的勒索软件受害者中,只有19%的人能够取回他们的文件。所以很可能,到最后,你的数据和钱都丢了,即赔了夫人又折兵。
云服务器1核2G首年38元,还有多款热门云产品满足您的上云需求
该恶意软件主要针对Linux和Microsoft Windows服务器,结合了不同恶意软件的功能,如勒索软件,挖矿软件,僵尸网络和蠕虫,对目标展开攻击。 根据攻击者勒索信息中给出的钱包地址,发现其目前为止已收入1.09BTC,按照当前单笔勒索金额0.02BTC计算,攻击者至少已收取其中54位感染者的赎金。? 附录样本分析 该样本主要通过猜解弱口令,或尝试利用对应漏洞植入到系统中,若成功植入运行,则尝试使用对应语句删除包括mysql、postgresql、mongodb的数据库,并留下勒索提示。 三、勒索样本提示用户,数据库已备份至攻击者的服务器,以此向用户勒索0.02BTC的赎金,然而样本中不执行备份数据库的行为,因此用户即使交付赎金也是无法恢复数据库文件的:? 脚本。
,攻击者留下勒索信息,要求支付比特币以赎回数据。 问题分析遍观 MongoDB 和 Elasticsearch 以及现在的 MySQL 数据库勒索,可以发现都是基线安全问题导致被黑客劫持数据而勒索,原因在于这些服务都开放在公网上,并且存在空密码或者弱口令等使得攻击者可以轻易暴力破解成功 配置鉴权下面以3.2版本为例,给出 MongoDB设置权限认证,具体步骤如下:(1)启动MongoDB进程是加上-auth参数或在MongoDB的配置文件中加上auth = true;(2)带 auth 启动的 MongoDB,如未创建用户,MongoDB会允许本地访问后创建管理员用户。 4、其他服务请参考以上方式或者官方文档进行配置参考链接《避免 MongoDB 被勒索详解,腾讯云上更安全》《下一个猎杀目标:近期大量MySQL数据库遭勒索攻击》《知名搜索引擎Elasticsearch成为勒索软件敲诈目标
两种攻击版本以下是两种版本的勒索信息:INSERT INTO PLEASE_READ. ,勒索者的邮箱地址是‘backupservice@mail2tor.com’。 总结 0.2比特币、成百上千的数据库被入侵、WARNING勒索信息等线索不由让人联想到先前被屠戮的MongoDB,不知这次的MySQL是否会成为第二个MongoDB。 这不是MySQL服务器第一次被勒索。2015年发生了同样的事,当时攻击者使用未修复的phpBB论坛劫持了数据库并对网站进行勒索,史称RansomWeb攻击。 MySQL数据库被勒索攻击的事件不容小嘘,瞬间暴涨的被勒索MongoDB数据库数量就是前车之鉴。(文章回顾传送门)
截止本周三(1月11日),已经有20名以上的黑客加入到这场对MongoDB用户一边倒的碾压中来,遭到入侵、勒索的数据库超过了33,000个,并且这一数字还在不断上升中。 源于0.2比特币的勒索去年12月27日,安全专家兼GDI Foundation联合创始人Victor Gevers(@0xDUDE)在Twitter上称由于存在配置漏洞,可不通过任何认证直接访问某些MongoDB MongoDB屠戮全面开启当时Gevers暂时只统计到了有近200个MongoDB数据库实例(instance)被黑客入侵当做勒索筹码。 仅在1月9日早间开始的12小时内,受到黑客勒索的数据库就从12,000个翻倍达到了27,633之多。 虽然MongoDB的开发团队在下一个版本里修复了这个问题,但截止事发,仍然有数量众多的数据库管理者没来得及更新。这次勒索事件的一个显著后果就是世界范围内存储在MongoDB数据库里数据量的大幅下滑。
MongoDB本身有一个mongoimport工具可供使用,不过它只接受json、csv等格式的源文件,不适合我的需求,所以我没用,而是用PHP写了一个脚本,平稳运行了一段时间后,我发现数据导入的速度下降了 ,同时PHP抛出异常:cursor timed out (timeout: 30000, time left: 0:0, status: 0)我一时判断不出问题所在,想想先在PHP脚本里加大Timeout number of retries exhausted, couldn’t send query, couldn’t send query: Broken pipe接着使用strace跟踪了一下PHP脚本 (1);不过结果显示基本都是insert操作(因为我是导入数据为主),本身就不需要索引:mongo> use mongo> db.system.profile.find().sort({$natural irqbalance的文章中都提及了NUMA,让我一下子想起之前在日志中看到的警告信息,我勒个去,竟然绕了这么大一个圈圈!
尊敬的腾讯云客户: 您好,近日,腾讯云安全中心情报侧监控显示,目前云上部分用户MongoDB服务器仍然存在的未授权安全漏洞,黑客可利用此类漏洞发起新一轮勒索攻击,会导致您的服务器中的数据被擦除,并被索要赎金 为避免您的业务受影响,防止被恶意攻击者勒索索要赎金,腾讯云安全中心建议您及时对照自身数据库服务应用开展安全自查和加固。 加固建议如下:1. 【风险描述】:开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库。2. 打开MongoDB配置文件(.conf),设置为auth=true;2、修改访问端口和指定访问ip。 使其只监听私有IP(或本地IP),不监听任何公网IP或DNS;官方方案:具体可参考:https:docs.mongodb.commanualsecurity 。
一台裸奔在云服务器上的MongoDB前几天在自己个人的一台腾讯云服务器上安装了MongoDB,当时着急用,就用的默认配置(端口是默认端口,也没设置密码),后来就把这事抛到脑后了,也因为经常用无线网卡上网 不会被勒索了吧?还真是!数据库全部内容如下:All your data is a backed up. 日志,有个日本东京的IP【18.179.34.199】刚好在我吃饭这几分钟连接了数据库:2020-06-07T01:02:40.397+0800 I NETWORK connection accepted 网上一看,中招的还有不少,留言的模板还都是一毛一样的,被勒索的比特币从0.005到1个以上的都有。在群里吐槽也被运维兄弟喷了? ? 幸亏这次丢失的数据不多,也只是自己个人的测试数据,如果是公司的商用数据库数据,那被勒索多少BTC也得给啊 ??
用户的权限按用户角色进行划分> use admin > db.getRoles()> db.createRole( { role:mongostatRole, privileges:}], roles:} ) 3.编写脚本 |awk -F virtual{print $3}) rst=$ ;; *) echo aaaaaaaaaaaa# exit 5esacif ;then echo 0else echo $rstfi mongodb 重启脚本# cat rest_mongo.sh #! ;; stop) stop ;; restart) stop start ;; *) echo $Usage: $0 {start|stop|restart} exit 1esac 根据连接数来重启mongodb binsh # #chkconfig: 2345 80 90 #description: mongodb start() {data01mongodb-linux-x86_64-3.0.3binmongod
/home/kaifa/mongodb/bin/mongodump -h xxxxxx:27017 --directoryperdb -d hems_onlin...
近日,腾讯云安全中心情报侧监控显示,目前云上部分用户MongoDB、ElasticSearch和CouchDB等DB服务器仍然存在的未授权安全漏洞,黑客可利用此类漏洞发起新一轮勒索攻击,会导致您的服务器中的数据被擦除 ,并被索要赎金,同时网站服务器有被入侵控制等风险。 为避免您的业务受影响,防止被恶意攻击者勒索索要赎金,腾讯云安全中心建议您及时对照自身数据库服务应用开展安全自查和加固,加固建议如下: MongoDB未授权访问 1. 使其只监听私有IP(或本地IP),不监听任何公网IP或DNS; 官方方案:具体可参考:https:docs.mongodb.commanualsecurity CouchDB未授权访问 1. 插件; 2)使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证; 3)如果是单台部署的Elasticsearch,9200端口不要对外开放; 4)使用1.7.1以上的版本;
事件起因新年伊始,又有一些不安分的黑客们出来兴风作浪了,近期比较受关注的主要是黑客组织们利用 MongoDB 一直存有的未授权访问问题进行攻击,连接上数据库后把别人的数据备份,然后删除数据并勒索赎金。 如果您的服务也开放在了公网上,且MongoDB服务器没有配置鉴权,则可能像各类报道里说的:被黑客窃取、删除、勒索缴纳赎金、泄露等等严重后果。 下图为今日搜索结果:? 解决方案与修复建议 配置鉴权下面以3.2版本为例,给出 MongoDB设置权限认证,具体步骤如下:1、启动MongoDB进程是加上-auth参数或在MongoDB的配置文件中加上auth = true; 2、带auth启动的MongoDB,如未创建用户,MongoDB会允许本地访问后创建管理员用户。
XBash的恶意代码借鉴了很多不同种类的恶意软件,例如勒索软件、加密货币挖矿软件、僵尸网络以及蠕虫病毒等等。 Iron Group这个网络犯罪组织从2016年开始就一直活跃至今,当初该组织因为Iron勒索软件而出名,近几年该组织也开发了多种恶意软件,其中包括后门、恶意挖矿软件、以及多种针对移动端和桌面端系统的勒索软件 从非法盈利方面来看,攻击者主要通过在目标Windows系统中实现恶意挖矿以及针对运行了数据库服务的Linux服务器进行勒索攻击来实现牟利。 XBash组件可以扫描和删除MySQL、MongoDB和PostgreSQL数据库,并向目标主机发送勒索消息,然后要求用户支付0.02个比特币来“赎回”他们的数据。? 不幸的是,就算用户支付了赎金,他们也不可能再拿回自己的数据了,因为恶意软件在删除数据的时候根本就没备份…研究人员表示,他们对XBash样本中的比特币钱包地址进行了分析,分析结果表明,从2018年5月份开始
更过分的是,在入侵者在非法获取这些数据之后,将其作为勒索的资本,而且就目前所知,数据库已经被删除过3次并收到过3次不同的勒索信息,分别是“PWNED_SECURE_YOUR_STUFF_SILLY,” 被勒索的Cloudpets据2月28日安全专家Troy Hunt在blog上发布的文章中曝光,Shodan搜索引擎等证据显示,在2016年12月25日至2017年1月8日之间,Cloudpets智能玩具的用户数据就存储在一个没有任何密码或防火墙防护的公共数据库中 被窃账户超过200万Hunt在Twitter了发布了基本的被窃信息,其中包括玩具录的音、MongoDB泄露的数据、220万账户语音信息、数据库勒索信息等。? 事实上,在一月初MongoDB被屠戮,多个数据库遭到入侵、勒索的时候,Cloudpets就已经被重写两次了。 “很明显,虽然他们已经更改了系统的安全配置文件但也不能改变勒索造成的损失,所以无论是被暴露的数据库还是被入侵并勒索,这些才最容易成为头条,引起关注。”
Palo Alto Networks的Unit 42研究团队发现了一种新的恶意软件类,能够针对Linux和Windows服务器,将加密货币挖掘,僵尸网络和勒索软件功能结合在一个自我扩展的蠕虫软件包中。 正如Unit 42所详述的那样,名为Xbash的新恶意软件系列与Iron Group有关,Iron Group是一个以前知道可以执行勒索软件攻击的威胁行为者,显然已经转向更复杂的攻击媒介。 据观察,Xbash使用可利用的漏洞和弱密码强制组合在服务器之间传播,与其他勒索软件不同,默认情况下启用了数据销毁功能,没有恢复功能,几乎不可能进行文件恢复。 此外,Xbash的僵尸网络和勒索软件组件通过利用未受保护和易受攻击但未修补的服务来定位Linux服务器,立即清除MySQL,PostgreSQL和MongoDB,并要求比特币赎金恢复数据。 Unit 42已经发现48个传入到Xbash勒索软件组件中的硬编码钱包总计6000美元,这意味着新的恶意软件系列已经活跃并收集受害者的赎金。??添加收藏
mongodb自动备份脚本2019年04月08日 13:27:28 遗失的曾经! 阅读数 73#!
事件三:MongoDB的超33000个数据库遭遇入侵勒索1. 2016年 12月27日,安全专家兼GDI Foundation联合创始人Victor Gevers(@0xDUDE)在Twitter上称由于存在配置漏洞 2. 2017年1月11日,已经有20名以上的黑客利用这一漏洞参与到对MongoDB用户一边倒的碾压中来,遭到入侵、勒索的数据库超过了33,000个,并且这一数字还在不断上升中。 虽然MongoDB的开发团队在下一个版本里修复了这个问题,但仍然有数量众多的数据库管理者没来得及更新。这次勒索事件的一个显著后果就是世界范围内存储在MongoDB数据库里数据量的大幅下滑。 上述案例中《MongoDB的超33000个数据库遭遇入侵勒索》就属于此类情况;二是用户信息在数据存储、传递过程中被第三方恶意截取和非法使用。 对于企业而言,除了要加强传统的安全防护边界,我们更要关注数据本身的安全问题,也就是数据完整性保护。
安装脚本#! 已经安装成功:usrlocalmongodbelseprint_log mongodb已经安装失败:usrlocalmongodbfi if ];thenprint_log mongodb: 数据目录: : 启动脚本已经存在.elsecp $mongodb_init etcinit.dchmod a+x etcinit.dmongodbchkconfig --add mongodbchkconfig 启动脚本为:etcinit.d$mongodb_init } install? 启动脚本#!
解码和解密后会显示主要脚本,该脚本仍有混淆,分析人员难以读懂内容:?该文件以反射方式将勒索软件DLL注入到合法进程explorer.exe中, 勒索软件以十六进制格式嵌入在脚本中。? 脚本将其解码产生两个DLL,一个是勒索软件的x86版本(用于32位OS),另一个是x64版本(用于64位OS)。它会对运行环境进行检测,以便可以确定要使用的DLL版本:? 脚本本身充当DLL加载程序,可以自行计算并解析定位其所需的内存地址。然后指定要注入的进程,搜索正在运行的Windows资源管理器进程。? 通过以下代码将勒索软件DLL写入explorer.exe的内存空间并执行:?最后删除副本,防止受害者使用副本恢复文件。 ? 总结与建议攻击者现在正在向勒索软件中添加反射DLL注入,从而使攻击难以被安全分析人员分析追踪。勒索软件本身对组织就具有很大的危害,成为无文件攻击后,其风险再次加大。
文档数据库 MongoDB是腾讯云 打造的高性能 NoSQL 数据库,100% 完全兼容 MongoDB 协议,同时高度兼容 DynamoDB 协议,提供稳定丰富的监控管理,弹性可扩展、自动容灾,适用于文档型数据库场景,使您无需自建灾备体系及控制管理系统。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
网站备案
对象存储
文件存储