本週，境外勒索集團黑客大規模利用企業使用MongoDB開源版時的配置疏漏進行入侵，給自建MongoDB資料庫服務的企業造成不小的安全隱患。

阿里雲安全團隊監測入侵趨勢，釋出公告《MongoDB資料庫未授權訪問漏洞及加固》給出相應修復建議。同時，立即通過郵件、站內信和簡訊進一步提醒。

https://help.aliyun.com/knowledge_detail/37451.html

從以上安全事件可以看出，一個Harak1r1黑客團隊訪問的黑客要求0.2 BTC，大約為200美元，以便恢復資料。

通過整個事件監測和第三方掌握的資訊，發現目前針對MongoDB勒索攻擊主要有以前黑客團隊，其中Harak1r1團隊是目前主要黑客團隊。

問題出在哪裡？

從多個客戶事件排查總結髮現這些受害的使用者都有一個共同的特徵：

所有事發MongoDB可以在任何網路在無需使用賬號任意登入

換句話說，家門全部敞開，沒有任何安全防護措施，業務直接裸奔在網際網路上，黑客可以來去自如，用底層本的方式做任何想做的事情，包括資料庫刪除這樣的高危操作等，從排查的案例來看，也正好驗證了這個攻擊方式。

如果您是MongoDB管理員，下面的其他提示可能對您有用：

1.     檢查MongDB帳戶以檢視是否沒有人添加了密碼（admin）使用者(使用db.system.users.find()命令)；

2.     檢查GridFS以檢視是否有人儲存任何檔案(使用db.fs.files.find()命令)；

3.     檢查日誌檔案以檢視誰訪問了MongoDB（show log global命令）。

為什麼會發生？

作為技術人員，我們肆意的猜測可能有以下原因:

1.一般技術人員從官網下載的二進位制安裝包後，沒有配置檔案 ，直接使用指令碼啟動部署業務並投入到生產環境，預設條件下，MongoDB是不啟用認證和訪問控制功能，至於MongoDB為何這樣設計不得而知。

以下是小編從官網下載最新的安裝包，從安裝包裡面，無配置檔案，所以基於這種底成本大傷害的攻擊方式，很容易被黑客利用成功。 

2.不瞭解MongoDB的安全使用方式，資料庫管理員在啟動時，未加安全引數直接執行，導致任何使用者可以使用任何網路無賬號登入到資料庫。

如何解決這個問題呢？

勒索再也不是土匪綁架，英雄救美這樣的老套把戲，遠隔萬里的黑客可以分分鐘逼你花大把金錢"消災"，作為使用者的您，該如何防範呢？

1.您可以登入到阿里云云盾控制檯，使用雲盾安騎士MongoDB檢測是否存在此安全問題；

2. 如果您需要自己搭建MongoDB資料庫,強烈推薦您使用yum rpm方式安裝MongoDB Server 服務

3.在正式使用MongoDB服務之前，強烈建議您對MongoDB服務進行加固後上線正式服務：

1).江湖險惡，對於資料庫高危險服務慎重考慮是否要開放釋出到網際網路上，如果不需要網際網路訪問資料庫，可以使用ECS安全組功能控制外網訪問服務埠，拒絕黑客初始化訪問，讓黑客無法觸碰到核心業務，該方法適用於所有IT 業務服務；

2).即將部署使用或已經線上執行的MongoDB需要配置鑑權認證機制、繫結訪問源IP等方面的加固，給門上加一把“強鎖;

3).光有以上的一些措施可能不夠，建議MongoDB管理員使用以下參考資料對資料庫進行加固

4.資料備份，備份，再備份，不論是資料庫檔案或原生代碼檔案，對於重要的資料使用阿里雲ECS快照功能、或其他離線備份資料；

 最後，再次提醒受影響的使用者，不要信任何可去支付任何贖金，您可能會成為一個更大的目標，下一次的贖金可能會更高，同時也建議您提高安全意識，關注業務安全