Хакеры атакуют MongoDB: число скомпрометированных систем превысило 27 000

[BekoBou]

M310: MongoDB Security — курс лекций начинается завтра (10 Jan 2017 at 17:00 UTC)

[format1981]

Жесткий пиар?

[BekoBou]

Почему? Курс от создателей MongoDB, на их площадке. Просто полезная ссылка в рамках статьи.

[serkys]

Вещаю с рубки: очевидно, намёк на пиар со стороны создателей курса путём массового взлома своей же MongoDB :)

[Dimd13]

Вероятнее всего слово взломал/взломали в статье следует употреблять в кавычках, почти уверен что эти все базы имеют дефолтные настройки безопасности, т.е. без парольный доступ и сводит взлом к поиску открытого дефолтного порта и «настройки» этой самой безопасности атакующим.

[profesor08]

То есть, вот так просто можно получить доступ извне? Ужас. Скорее всего это вынужденная жертва.

Easy to learn hard to master

[ArRnorets]

Описание установки MongoDB для Red Hat/CentOS с вами согласно.

The default /etc/mongod.conf configuration file supplied by the 3.0 series packages has bind_ip set to 127.0.0.1 by default.

— до этого в дефолтной конфигурации действительно, как минимум, слушались все интерфейсы.

[movl]

Тоже подумал, что "взломщик" как-то так действовал:

for ip in $ips
do
  mongo --host $ip script.js
done

[terrier]

Народ не совсем осознает, чем конкретно в mongodb пожертвовали ради няшности, user-friendly — имиджа и доступности представителям интеллектуального большинства. В частности пожертвовали принципом «Secure by default», доступностью данных, serializability и т.д.

[ZOXEXIVO]

Народ все прекрасно осознает и использует технологии по назначению

[un1t]

Глядишь, через годик эти «хакеры» узнают, что elasticsearch или там redis тоже по умолчанию открыты наружу без паролей.

[inlanger]

А что такого важного можно в redis хранить?

[mayorovp]

А что такого неважного там может оказаться?

[inlanger]

Ну например кеш шаблонов, какие-то счетчики которые пересчитывать при каждом обновлении страницы не очень хорошо и т.д. Не пароли же в редисе хранить, и не важный контент.

[mayorovp]

Модифицируем шаблоны в кеше — и внедряем на сайт произвольные скрипты или баннеры без модификации исходников. Как вам такой вариант?

[inlanger]

А кто такое дело не шифрует? По-моему все популярные движки и фреймворки как-то шифруют свой кеш.

[mayorovp]

Разве что если шифрование по умолчанию настроено. Потому что тот кто не закрывает redis шифрование сам включать точно не станет.

[un1t]

Шифруют кеш? Что-то не встречал такое. Да и какой смысл в этом.

[cadmi]

Видимо для того, чтобы при каждом запросе содержимое кэша героически расшифровывать :) Ведь кэш делают как для того, чтобы было на что потратить свободные ресурсы CPU :)

[un1t]

Дело даже не в этом. В редисе были уявзимости позволяющие выполнять произвольный код.

https://redislabs.com/blog/cve-2015-4335-dsa-3279-redis-lua-sandbox-escape#.WHTnuPF96kA

А если мы говорим, о таких безолаберных «админах» которые даже порт закрыть не могут, то я сильно сомневаюсь, что они какие-то патчи накатывали.

У меня есть знакоммые, у которых через редис тестовый сервел ломанули.

[Barafu]

Я таких админов называю "безоблачные". Потому что они остаются без облака.

[madkite]

Может я удивлю, но redis оочень часто используется как session storage. И часто без всякого криптования. Что можно сделать плохого, имея токен сессии, думаю, объяснять не надо.

[DarthVictor]

взломал 15 482 экземпляров MongoDB и требовал от их администраторов по одному биткоину ($921) за возврат данных — однако, пока никто ему не платил.

однако, пока никто ему не платил

Из 15 482 пострадавших 4 131 восстановили свою тестовую базу с прода, а 11 351 написали новый хелловорд, заменив NodeJS на Go.

[nestor_by]

--bind_ip=127.0.0.1