MongoDB数据库再遭勒索攻击，26000余服务器被劫持

9月5日，国家网络与信息安全信息通报中心发布预警通报，称作为全球最流行Nosql数据库之一的MongoDB数据库再次遭到黑客勒索攻击。

据外媒报道：黑客团伙劫持了MongoDB逾 26000 多台服务器，其中规模最大的一组超过 22000 台。

据国家网络与信息安全信息通报中心监测发现，近期国内外部分重要行业和部门发生了针对MongoDB数据库的勒索事件。国家网络与信息安全信息通报中心要求各地迅速排查，一旦发现勒索事件及时上报。

“MongoDB启示录”再临?

此次攻击由安全专家Dylan Katz和Victor Gevers发现，被他们称为是“MongoDB启示录”的延续。所谓的“MongoDB启示录”事件始于 2016 年 12 月底，并持续到 2017 年的头几个月。

据悉，有多个黑客组织参与了此次攻击，他们劫持服务器后，用勒索程序替换了其中的正常内容。外媒称，大多数被攻破的数据库都在使用测试系统，其中一部分可能包含重要生产数据。

这些黑客组织利用MongoDB数据库未授权访问漏洞，劫持服务器后批量对存在漏洞的数据库进行“删库”操作并留下联系方式，以此勒索用户支付赎金。
针对上述情况，国家网络与信息安全信息通报中心建议采取以下防范措施：
　　
修改数据库默认端口或将数据库部署在内网环境中，将MongoDB数据库默认端口（TCP 27017）修改为其他端口；开启MongoDB数据库访问授权；使用SSL加密功能；使用“--blind_ip”选项，限制监听接口IP；开启数据库日志审计功能，记录所有数据库操作；及时做好重要数据备份工作。

三个新的黑客团伙浮出水面

安全专家们使用Google Docs电子表格追踪了本次攻击，总计超过 45000 多个数据库被攻破(有可能更多)。其实除了MongoDB以外，另外几个著名的数据库也并未幸免，ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL的服务器也都曾遭到过劫持。


今年春夏之交，曾喧嚣一时的攻击团伙逐渐消声遗迹，被劫持的服务器数量也呈下降趋势。可就在上周，新出现的三个黑客组织再次发难，安全专家们通过赎金票据定位了他们的电子邮箱。

攻击者数量减少，但危害不降反升

这次攻击事件的发现者Victor Gevers在采访中提到：
虽然攻击者的数量有所减少，但每次攻击的破坏性却在逐步上升(被劫持的服务器数量只高不低)。现在我们得仔细研究研究了，到底是技能缺失还是安全意识不足?为什么数据库系统会持续在老旧版本运行?还是说存在哪些尚未被我们发现的潜伏漏洞?

Gevers还表示，他必须引进一批外部专家来协助分析MongoDB问题。