Mongodb服务器正被自动化入侵，备份并删库企图进行勒索

Original 黑鸟黑鸟 2022-05-03

收录于合集

世间有两个著名数据库：Elastic和Mongodb，由于他俩的默认配置均无密码设置，因此容易被攻击者未授权访问，从而导致每次大型数据泄露的万恶之源总有这两数据库的名字。

此前介绍过关于ElasticSearch服务器，因为没有设置密码被自动化删库的故事：ES服务器正被自动化入侵，删库后嫁祸给安全公司

而今天，故事的主角换成Mongodb。

近日，黑鸟在找某些资产的时候发现了一个Mongodb数据库出现了一个集合名

READ_ME_TO_RECOVER_YOUR_DATA

按照往常套路，想必也是这台服务器主人没有设置账号密码，使得Mongodb可以被攻击者未授权访问所导致。

秉着试图发现攻击者的想法，查看了一下这个集合里面的内容，发现这次的攻击者有点皮

翻译一下，简单如下：

您的所有数据都已备份。

您必须在48小时内支付0.015 BTC到

1DiskiHEtnDV3ixjHLchpiJFxVo8dQfy1q才能恢复它。

到期48小时后，我们将泄漏并公开您的所有数据。

如果拒绝付款，我们将与GDPR通用数据保护条例联系，并通知他们您以开放形式存储用户数据，并不安全。

根据法律规定，您将面临重罚或逮捕，您的数据也将从我们的服务器上删除！您可以在这里购买比特币，无需花费大量时间即可通过此指南购买

付款后，您便会在邮件中写信给我 DB IP：get_base@tuta.io”

可以看出，他们也同样学习了勒索软件的套路，不付款就公开数据的方法论。

关于GDPR，简单来说这是一个能把公司罚破产的条例，有一说一，这可能也是为什么国外的一些公司对数据保护的力度很强。近日因为违反GDPR隐私法，谷歌就被欧盟罚款5000万欧元。

查询了一下，发现已经有一个人付款了，刚好是0.015BTC，约合人民币一千块。

然而，当黑鸟试图看看有多少台主机被这个攻击者用同样的手段进行勒索后，结果发现有15495台。(直接搜索关键词即可)

国内的Zoomeye搜索有 4,589台。Fofa 搜索有1837台。

应该资产是存在重合，这里可以单纯以shodan的数据为准。

其中中国以阿里云和腾讯云主机受害为主，国外的亚马逊云和数字海洋同样是重灾区。

这也说明了，这个攻击者和之前的入侵ES的案例一样，都是使用脚本自动化入侵，自动化备份数据库，自动化删库，自动化创建勒索留言的集合...

因此，会波及到中国也就毫不意外了。

建议有搭载Mongodb服务的同志自行排查，加上密码，这类大多都是由于安全意识不够强所导致。

同时，如果有不幸中招的同志，建议还是不要向BTC地址汇款，毕竟这与黑鸟之前介绍的勒索软件团伙不一样，那些勒索软件团伙是要积累信誉好继续割韭菜，而这类型的自动化脚本入侵小子是干完这一票就跑路的类型，充满者不确定性。

当然，以上都是纯属"经验"之谈。