大批MongoDB因配置漏洞被攻击，黑客删除数据并勒索赎金

造成本次黑客大规模攻击的核心原因是MongoDB一直存在的未授权访问问题（登录不需要用户名和密码认证）。

用户在使用 MongoDB 时，将服务直接开放在了公网上，并且直接采用了默认配置，而默认配置并没有开启鉴权访问[未设置账号密码]，从而导致这个数据库谁都可以访问，于是便发生了此次大批量MongoDB被黑客劫持入侵的事件，黑客将用户数据备份然后删除，以此来威胁企业缴纳赎金。

总结起来：此次针对MongoDB的攻击非常简单，利用了配置有误且可公开访问的数据库，无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库，随后会全面夺取控制权并窃取或加密数据库，被勒索的受害者必须支付赎金才能找回自己的数据。

MongoDB官网公告表示：这些入侵完全可以通过开源产品内置的安全机制防御。

云栖社区上有人给出了简单的解决方案，建议所有用户立即处理：

• 不论你有没有中招，有没有在公网，都要配置鉴权，亡羊补牢，避免更多的损失；

• 关闭公网的访问入口，把门关上；

• 碰碰运气，看看数据表是不是只是被 rename 了，因为数据 dump 是有时间成本和存储成本的，有监控数据的可以对比下看看容量有没有变化。

手动排查险情：

• 1.    检查MongDB帐户以查看是否有人添加了密码（admin）用户(使用db.system.users.find()命令)；

• 2.    检查GridFS以查看是否有人存储任何文件(使用db.fs.files.find()命令)；

• 3.    检查日志文件以查看谁访问了MongoDB（show log global命令）。

更多MongoDB安全配置可参考官方文档：https://docs.mongodb.com/manual/administration/security-checklist/