大量Mongodb被挟持原因分析

网络安全

截止本周三(1月11日),已经有20名以上的黑客加入到这场对MongoDB用户一边倒的碾压中来,遭到入侵、勒索的数据库超过了33,000个,并且这一数字还在不断上升中。(源自凯捷咨询的Niall Merrigan提供的数据)MongoDB是目前包括eBay,纽约时报,LinkedIn在内的全世界多家公司广泛采用的数据库。

0X00 缘由

上周各漏洞平台爆出大量Mongodb数据库被入侵,他们通过删除数据勒索用户。这种入侵就发生在我身边,一学长的Mongodb总是莫名奇妙的少数据,通过排查原来是Mongodb有问题。

0X01 漏洞原因

在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了–auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以–auth 参数启动),直到在admin.system.users中添加了一个用户。加固的核心是只有在admin.system.users中添加用户之后,mongodb的认证,授权服务才能生效,同时新安装的Mongodb会把27017暴露到公网上,也让攻击者有机可乘。

0x02 漏洞利用

漏洞扫描脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
import socket
import sys
import pymongo
'''
hint:python mongodb.py startIP endIp
''' 
ipcons = []
def Scanner(ip):
    global ipcons
    sk = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sk.settimeout(0.3)
    try:
        sk.connect((ip,27017))
        ipcons.append(ip)
        sk.close()
    except Exception:
        pass
  
def ip2num(ip):
    ip=[int(x) for x in ip.split('.')]
    return ip[0] <<24 | ip[1]<<16 | ip[2]<<8 |ip[3]
      
def num2ip(num):
    return '%s.%s.%s.%s' %( (num & 0xff000000) >>24,
                                (num & 0x00ff0000) >>16,
                                (num & 0x0000ff00) >>8,
                                num & 0x000000ff )
      
def get_ip(ip):
    start,end = [ip2num(x) for x in ip.split(' ') ]
    return [ num2ip(num) for num in range(start,end+1) if num & 0xff ]
      
startIp = sys.argv[1]
endIp = sys.argv[2]
iplist = get_ip(sys.argv[1]+" "+sys.argv[2])
for i in iplist:
    Scanner(i)
  
def connMon(ip_addr):
    print ' Connect mongodb: ' + ip_addr + ':27017'
    try:
        conn = pymongo.MongoClient(ip_addr,27017,socketTimeoutMS=3000)
        dbname = conn.database_names()
        print "success"
    except Exception as e:
        print "error"
  
print ipcons   
for ipaddr in ipcons:
    connMon(ipaddr)
    print "================="



随便扫了几个网段:
1
2

0x03 加固

  • 做好访问认证。打开你的MongoDB配置文件(.conf),设置为auth=true
  • 做好防火墙设置。建议管理者关闭27017端口的访问。
  • Bind_ip,绑定内网IP访问。
  • 做好升级。请管理者务必将软件升级到最新版本。

    0x04 再说几句

    其实很多设备的默认配置是很危险的,redis未授权访问和本文的原理也是一样的,只不过redis危害更大,能够导致主机被控。所以在安装新设备新软件时一定要清楚该设备的安全配置。

本文标题:大量Mongodb被挟持原因分析

文章作者:drops0hong

发布时间:2017-01-16, 00:00:00

最后更新:2017-01-16, 20:46:56

原始链接:http://wkh.dropsec.xyz/2017/01/16/mongodb未授权访问/

许可协议: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

文章目录
  1. 1. 0X00 缘由
  2. 2. 0X01 漏洞原因
  3. 3. 0x02 漏洞利用
  4. 4. 0x03 加固
  5. 5. 0x04 再说几句
|