Pull to refresh

Comments 24

Почему? Курс от создателей MongoDB, на их площадке. Просто полезная ссылка в рамках статьи.

Вещаю с рубки: очевидно, намёк на пиар со стороны создателей курса путём массового взлома своей же MongoDB :)
Вероятнее всего слово взломал/взломали в статье следует употреблять в кавычках, почти уверен что эти все базы имеют дефолтные настройки безопасности, т.е. без парольный доступ и сводит взлом к поиску открытого дефолтного порта и «настройки» этой самой безопасности атакующим.
То есть, вот так просто можно получить доступ извне? Ужас. Скорее всего это вынужденная жертва.
Easy to learn hard to master
Описание установки MongoDB для Red Hat/CentOS с вами согласно.

The default /etc/mongod.conf configuration file supplied by the 3.0 series packages has bind_ip set to 127.0.0.1 by default.
— до этого в дефолтной конфигурации действительно, как минимум, слушались все интерфейсы.

Тоже подумал, что "взломщик" как-то так действовал:


for ip in $ips
do
  mongo --host $ip script.js
done
Народ не совсем осознает, чем конкретно в mongodb пожертвовали ради няшности, user-friendly — имиджа и доступности представителям интеллектуального большинства. В частности пожертвовали принципом «Secure by default», доступностью данных, serializability и т.д.

Народ все прекрасно осознает и использует технологии по назначению

Глядишь, через годик эти «хакеры» узнают, что elasticsearch или там redis тоже по умолчанию открыты наружу без паролей.
А что такого важного можно в redis хранить?

А что такого неважного там может оказаться?

Ну например кеш шаблонов, какие-то счетчики которые пересчитывать при каждом обновлении страницы не очень хорошо и т.д. Не пароли же в редисе хранить, и не важный контент.

Модифицируем шаблоны в кеше — и внедряем на сайт произвольные скрипты или баннеры без модификации исходников. Как вам такой вариант?

А кто такое дело не шифрует? По-моему все популярные движки и фреймворки как-то шифруют свой кеш.

Разве что если шифрование по умолчанию настроено. Потому что тот кто не закрывает redis шифрование сам включать точно не станет.

Шифруют кеш? Что-то не встречал такое. Да и какой смысл в этом.
Видимо для того, чтобы при каждом запросе содержимое кэша героически расшифровывать :) Ведь кэш делают как для того, чтобы было на что потратить свободные ресурсы CPU :)
Дело даже не в этом. В редисе были уявзимости позволяющие выполнять произвольный код.

https://redislabs.com/blog/cve-2015-4335-dsa-3279-redis-lua-sandbox-escape#.WHTnuPF96kA

А если мы говорим, о таких безолаберных «админах» которые даже порт закрыть не могут, то я сильно сомневаюсь, что они какие-то патчи накатывали.

У меня есть знакоммые, у которых через редис тестовый сервел ломанули.

Я таких админов называю "безоблачные". Потому что они остаются без облака.

Может я удивлю, но redis оочень часто используется как session storage. И часто без всякого криптования. Что можно сделать плохого, имея токен сессии, думаю, объяснять не надо.

взломал 15 482 экземпляров MongoDB и требовал от их администраторов по одному биткоину ($921) за возврат данных — однако, пока никто ему не платил.

однако, пока никто ему не платил

Из 15 482 пострадавших 4 131 восстановили свою тестовую базу с прода, а 11 351 написали новый хелловорд, заменив NodeJS на Go.
Only those users with full accounts are able to leave comments. Log in, please.