安卓系统

MongoDB安全:保护和保护MongoDB数据库免受勒索软件

目录:

Anonim

Ransomware最近触发了一些不安全的MongoDB安装并将数据保存为赎金。在这里,我们将看到什么是 MongoDB ,并看看您可以采取的一些步骤来保护和保护MongoDB数据库。首先,这里是对MongoDB的简要介绍。

什么是MongoDB

MongoDB是一个开源数据库,它使用灵活的文档数据模型存储数据。 MongoDB不同于使用表和行构建的传统数据库,而MongoDB使用集合和文档的体系结构。

在动态模式设计之后,MongoDB允许集合中的文档具有不同的字段和结构。该数据库使用称为BSON的文档存储和数据交换格式,该格式提供了类似JSON文档的二进制表示。

勒索软件攻击MongoDB数据

最近,安全研究员Victor Gevers发推文说,在安全性较差的MongoDB安装上存在一串Ransomware攻击。攻击从去年12月开始,到2016年圣诞节期间,之后已经感染了数千台MongoDB服务器。

最初,Victor发现了200个MongoDB安装,它们遭到攻击并被勒索赎金。然而,据另一位安全研究员Shodan Founder John Matherly报道,受感染的装置很快就飙升至2000个DB,并且在2017年1月 周结束时,受感染系统的数量超过了27,000个

赎金要求

初步报告显示,攻击者要求22位受害者支付0.2比特币(约184美元)作为赎金。目前,攻击者增加了赎金数量,现在需要1比特币(约906美元)。

自披露以来,安全研究人员已经确定涉及劫持MongoDB服务器的超过15名黑客。其中,使用电子邮件句柄 kraken0 的攻击者已经损害了超过15,482个MongoDB服务器 ,并要求1个比特币返回丢失的数据。 到目前为止,被劫持的MongoDB服务器已经成长超过28,000,因为更多的黑客也在做同样的事情 - 访问,复制和删除Ransom的配置不当的数据库。此外,之前曾参与Windows Ransomware发布的Kraken也加入了该项目。

MongoDB Ransomware如何偷偷在

MongoDB服务器上通过互联网访问而无需输入密码那些被黑客攻击的人。因此,选择运行服务器的服务器管理员不使用密码

并使用 默认用户名 很容易被黑客发现。 更糟的是,有相同服务器的实例存在 被不同的黑客团体

重新入侵,这些黑客团伙已经用自己的替换现有的赎金记录,使受害者无法知道他们是否支付了正确的犯罪,更不用说他们的数据是否能够恢复。因此,如果有任何被窃取的数据将被返还,则无法确定。因此,即使您支付了赎金,您的数据仍可能会消失。 MongoDB安全性 服务器管理员必须为访问数据库分配一个强密码和用户名。建议使用默认安装的MongoDB的公司

更新他们的软件

,设置认证和 锁定端口27017 ,这是黑客最为关注的目标。保护您的MongoDB数据 强制访问控制和身份验证 启动方式启用服务器的访问控制并指定身份验证机制。身份验证要求所有用户在可以连接到服务器之前提供有效的凭据。

最新的

  1. MongoDB 3.4

版本使您可以配置对不受保护的系统的身份验证,而不会导致停机。

设置基于角色的访问控制 不是提供对一组用户的完全访问权限,定义一组用户的确切访问需求。遵循最小特权的原则。然后创建用户并为他们分配执行操作所需的角色。 加密通信

  1. 加密数据很难解释,并且很多黑客都无法成功解密。配置MongoDB以对所有传入和传出连接使用TLS / SSL。使用TLS / SSL加密MongoDB客户端的mongod和mongos组件之间以及所有应用程序和MongoDB之间的通信。

使用MongoDB Enterprise 3.2,可以配置WiredTiger存储引擎的本地加密静态加密,以加密存储中的数据层。如果您在休息时未使用WiredTiger加密,则应在每台主机上使用文件系统,设备或物理加密对MongoDB数据进行加密。

  1. 限制网络曝光

限制网络暴露可确保MongoDB在可信网络中运行环境。

备份您的数据

  1. MongoDB Cloud Manager和MongoDB Ops Manager提供连续备份和时间点恢复功能,用户可以启用警报在云管理器中检测他们的部署是否是互联网公开的

审计系统活动

  1. 定期审计系统将确保您意识到数据库的任何不规则更改。跟踪对数据库配置和数据的访问。 MongoDB Enterprise包含一个系统审计工具,可以记录MongoDB实例上的系统事件。

使用专用用户运行MongoDB

  1. 使用专用操作系统用户帐户运行MongoDB进程。确保该帐户有权访问数据,但没有不必要的权限。

使用安全配置选项运行MongoDB

  1. MongoDB支持为某些服务器端操作执行JavaScript代码:mapReduce,group和$ where。如果您不使用这些操作,请在命令行中使用-noscripting选项禁用服务器端脚本。

在生产部署中仅使用MongoDB有线协议。保持启用输入验证。 MongoDB默认通过wireObjectCheck设置启用输入验证。这确保了由mongod实例存储的所有文档都是有效的BSON。

  1. 请求安全技术实施指南(适用时)

安全技术实施指南(STIG)包含美国国防部。 MongoDB Inc.根据要求提供其STIG,用于需要的情况。您可以申请副本获取更多信息。

考虑符合安全标准

  1. 对于需要HIPAA或PCI-DSS合规性的应用程序,请参阅MongoDB安全性参考体系结构

这里

  1. 以了解有关您可以使用关键的安全功能来构建兼容的应用程序基础结构。

如何确定您的MongoDB安装是否被黑客 验证您的数据库和集合。黑客通常丢弃数据库和集合,并用新的数据库和集合替换它们,同时要求原始 的赎金。如果启用访问控制,请审核系统日志以发现未授权的访问尝试或可疑活动。查找丢失数据,修改用户或创建赎金需求记录的命令。

请注意,即使您已支付赎金,您的数据也不会被退回。因此,在攻击后,您的首要任务应该是保护您的群集以防止未经授权的访问。

  • 如果您进行备份,那么在您恢复最新版本时,您可以评估哪些数据可能发生了变化最近的备份和攻击时间。欲了解更多,你可以访问
  • mongodb.com