QQ客服:4000600990 客服热线:4001610866 投诉邮箱:jubao@knownsec.com

热门搜索词

抗D保 IPv6 CN2 功能 漏洞

热门文章

  • [公告] 8月24日温州电信机房割接通知

    尊敬的用户:         您好!      ...

  • [公告] 8月22日内网核心交换机升级维...

    为进一步优化系统性能,提供更好、更优质的云安全服务,知道创宇云安全团队将于北京时间 2019-08-22 10:00:00 起对内网核心交换机定福庄机房交换机进行替换升级,预计于当天15:00:00结束。 升级期间,由云安全防护的网站不受影响。

  • [公告] 8月20日-21日云安全服务维...

    为进一步提升系统性能,向用户提供更好、更优质的云安全服务,知道创宇云安全团队开展例行服务维护。在此期间,报表数据及日志下载服务或受影响。维护期间,网站安全防护不受影响。

关注知道创宇云安全

获取最新安全动态

超 12,000 个 MongoDB 数据库被 Unrisllar 黑客组织删除

来源:HackerNews.cc 2019.05.21

在过去三周内,超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息:“联系我们以恢复数据”。此前虽然没有达到这种规模,但至少从2017年初开始,这些针对可公开访问的MongoDB数据库的攻击已经发生。

黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务,就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库,黑客在删除它们之后要求支付勒索赎金以恢复数据,但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释,称“黑客可能会根据数据库的敏感度收取加密货币”。

黑客留下的联系方式

研究人员使用BinaryEdge搜索引擎发现了由Unistellar黑客组织删除的12,564个未受保护的MongoDB数据库(Shodan报道的数量较少,为7,656个数据库,可能是因为查询被阻止)。根据Jain所说,目前,BinaryEdge索引了超过63,000台可公开访问的MongoDB服务器,Unistellar黑客组织似乎已经删除了约20%。研究人员于4月24日首次注意到此类攻击,当时他发现了一个被删除的MongoDB数据库。不同于过去经常发现的大量的泄露数据,其只包含以下信息:“想要恢复?联系方式:unistellar@yandex.com。”

BinaryEdge search

使用BinaryEdge找到的被删除的MongoDB数据库

研究人员后来发现,在删除数据库后,黑客留下赎金票据。如果受害者想要恢复数据,向以下两个电子邮件地址之一发送电子邮件:unistellar@hotmail.com 或unistellar@yandex.com。虽然尚不清楚黑客用什么方法来查找并删除如此大量的数据库,但整个过程很可能是完全自动化的。

连接到其中一个未受保护的MongoDB数据库后发现,黑客执行此操作的脚本会不加区别地删除每个不安全的MongoDB数据库,然后添加赎金表。

Unistellar ransom notes

正如Jain所说,Unistellar黑客组织似乎已经创建了恢复点,以便恢复他们所删除的数据库。遗憾的是,无法追踪受害者是否一直在为要恢复的数据库付费,因为Unistellar只提供电子邮件地址,并不提供加密货币地址。

BinaryEdge Unistellar report

各个国家被删除的数据库数量

保护MongoDB数据库

发生攻击的原因是MongoDB数据库可远程访问且没有得到正确的保护,因此数据库所有者可以通过相当简单的步骤来防止此类攻击。MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法,还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。

×
×

身份信息验证

应国家法律法规相关要求,自2017年6月1日起使用信息发布、即时通信等服务时,需进行身份信息验证。为保障您对相关服务功能的正常使用,请验证手机邮箱姓名身份证号,感谢您的支持和理解。

验证
4001610866 4000600990 关注