Comments 7
Благодарствую за информацию. Благо в инет у меня смотрят только бд с паролями по юзерам. Но всё же. Благодарю.
Вот нагуглил некоторое объяснение истоков проблемы: https://habrahabr.ru/post/221221/
Если кратко, то до определенной версии MongoDB шла открытой по умолчанию. И пользователи, неожидавшие такой засады, ничего не подозревая, таковой ее и оставляли.
По какой причине вообще может существовать сервер, подключенный к интернету и не имющий фаервола с политикой запрета входящих соединений по-умолчанию, кроме явно разрешённых? Это же не какое-то хитрое ИБ-вуду типа IDS/IPS, это правило из разряда «не суй пальцы в розетку».
Это ни ко мне вопрос. Я просто кратко пересказал текст по ссылке. Сам я Монгой вообще не пользуюсь
Правило из разряда "не суй пальцы в розетку" работает до тех пор, пока всё делается на одной машине, тогда к этой бд никто и не будет кроме локальных процессов конектится. Проблемы начинаются, когда человеку вдруг захотелось подредактировать эту самую бд, а она оказывается за каким-то фаерволом, который надо настраивать ещё. Находится первая же статься "как открыть порт", из неё копипастятся команды, и про --auth у монги никто в этой статье не говорит, просто по тому, что эта статья расчитана на все порты.
Ну всем же например очевидно, что если убрать из офиса охрану, выключить сигнализацию, оставить его на ночь открытым и на стол положить кошелёк с деньгами, то скорее всего эти деньги исчезнут, возможно вместе с оргтехникой. Думаю, случаи воровства больших сумм денег из открытых неохраняемых помещений очень редки, и не потому, что желающих мало.
Но почему-то, как видно из статьи, очень много людей оставляют открытым в интернет сервис без авторизации. Причём эти люди работают с большими объёмами данных, то есть они вроде как должны обладать определённым уровнем компьютерной грамотности и понимать, что при такой настройке эти данные доступны _всем_, кто имеет доступ в интернет.
Я вас умоляю… Нормальных данных там нету. Нормальный человек так делать не будет.
Всё проще. Есть какой-нибудь стартап игры с акками на монге. Эту бд никто не знает как охранять, ибо людям, которые работают на каком-нибудь хипстерском блендере пофигу, что хипстерская монга должна иметь защиту.
В конце концов, когда базу шифруют, разрабам не хочется терять акки, а точнее говоря деньги, которые привязаны к этим аккам, ведь во всяких там мморпг много чего можно сохранять в бд, а вернуть это потом… Тк вот, в конце концов оказывается, что те 15 человек, друзей кролика, нехило вложились в развитие этой игры, и им легче набрать указанные 200 зелёных, чем отдавать 205 своим 15-ти клиентам.
Нормальные люди пальцы в розетку без гвоздей не суют...
Криптовымогатели продают инструмент для атаки на системы использующие MongoDB, Hadoop и ElasticSearch