Eindringling nimmt offenbar MongoDB-Datenbanken als Geisel
Ein unbekannter Angreifer soll ungeschĂĽtzte MongoDB-Datenbanken leeren und den EigentĂĽmern eine Erpresser-Botschaft hinterlassen.
Derzeit hat es ein Angreifer mit dem Pseudonym Harak1r1 auf verschiedene MongoDB-Datenbanken abgesehen und kapert diese, berichtet der Sicherheitsforscher Victor Gevers via Twitter.
Der Eindringling soll ungeschützte MongoDB-Datenbanken im Visier haben, den Inhalt abziehen und 0,2 Bitcoin (rund 200 Euro) Lösegeld verlangen. Diese Infos hat Gevers eigenen Angaben zufolge aus den Log-Dateien eines betroffenen Servers. Das einzige, was Betroffene anschließend in ihrer Datenbank vorfinden, ist diese Erpresser-Botschaft:
{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"),
"mail" : "harak1r1@sigaint.org",
"note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }
Diese Übergriffe sollen seit vergangener Woche stattfinden. Statistiken von Blockchain.info zufolge haben bereits mehrere Opfer das Lösegeld gezahlt.
Offene Datenbanken sind altbekanntes Problem
Ă–ffentlich ĂĽber das Internet erreichbare MongoDB-Datenbanken sind seit Jahren ein bekanntes Problem. Wer es drauf anlegt, kann sie mit vergleichsweise wenig Aufwand ĂĽber die Suchmaschine Shodan finden.
Das Problem ist, dass viele Admins noch alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration fĂĽr jedermann ĂĽber das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbank installiert haben.
Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt. (des)