Aus Linux-Magazin 11/2017

Mongo-DB-Anwender werden erpresst

© Benoit-Daoust, 123RF

Datendiebe erpressen immer mehr unvorsichtige Mongo-DB-Anwender und verlangen Bitcoins für die Rückgabe gestohlener Daten. Dabei wäre es so einfach, die Daten zu schützen.

Mongo DB ist eine Dokumenten-orientierte NoSQL-Datenbank, die in C++ geschrieben und inzwischen sehr verbreitet ist. Ein Mongo-DB-Prozess kann mehrere Datenbanken verwalten, und eine solche Datenbank kann verschiedene so genannte Collections enthalten. Collections sind Dokumente, die keinem bestimmten Schema folgen müssen.

Seit geraumer Zeit gibt es im Netz vermehrt Angriffe auf Mongo-DB-Systeme. Der Grund dafür ist, dass zahlreiche Mongo-DB-Anwender noch veraltete Datenbankversionen verwenden und diese zudem so konfiguriert haben, dass sie vom Internet aus direkt zugänglich sind. So können entfernte Angreifer sehr einfach Daten stehlen und auch die Datenbank manipulieren, da sowohl Schreib- als auch Lesezugriffe möglich sind.

Die Verbindung findet meist über Port 27017 statt. Im einfachsten Fall dient das Mongo-Kommandozeilentool zum Aufbau der Datenbankverbindung:

mongo Host-URL:27017

Darüber können die Angreifer auf die Datenbank unter »Host-URL« zugreifen. Der Befehl »show dbs« zeigt dem Angreifer dann die einzelnen Datenbanken des Systems.

Andere Befehle, etwa »show users«, führen entsprechend die Datenbankbenutzer auf. Collections wiederum lassen sich einfach über »show collections« listen. All dies setzt voraus, dass das System so konfiguriert ist, dass ein Angreifer ohne Authentifikation auf die Datenbank kommt, was in der Tat für zahlreiche mit dem Internet verbundene Mongo-DB-Systeme zutrifft.

Die nun Mitte 2017 entdeckten Angriffe folgen dem gleichen Muster wie eine Angriffswelle Ende 2016. Das fanden die beiden Sicherheitsforscher Dylan Katz und Victor Gevers heraus. In einem ersten Schritt suchen die Angreifer nach öffentlich zugänglichen Mongo-DB-Datenbanken. Dabei kommen teilweise ganz normale Suchmaschinen wie Shodan [1] zum Einsatz. Das ist eine Suchmaschine, die speziell auf das Finden von mit dem Internet verbundenen Geräten und Diensten spezialisiert ist.

Sobald der Angreifer damit eine offene Mongo-DB-Datenbank entdeckt hat, baut er eine Verbindung über Port 27017 auf und kopiert zunächst den kompletten Inhalt der Datenbank. Dann löscht er diese und hinterlässt als einzigen Eintrag in der nun leeren Datenbank die Erpresserbotschaft (Listing 1). Die Idee dabei ist, dass der Datenbankbetreiber dem Angreifer einen bestimmten Betrag an Bitcoins (»0,2 BTC«) schicken soll. Erst dann erhält das Opfer seine Daten zurück.

Listing 1

Erpresserbotschaft

01 { "_id" : ObjectId("5859a0370b8e49f123fcc7da"),
02 "mail" : "harak1r1@sigaint.org",
03 "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND
04 CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }

Die beiden Sicherheitsforscher haben auch eine detaillierte Tabelle zu allen bisherigen Angriffen [2] zusammengestellt. Aktuell finden sich dort schon mehr als 75 000 Systeme, die Opfer solcher Erpresser-Attacken wurden. Statistiken von Blockchain.info [3] belegen zudem, dass zahlreiche Opfer den Betrag gezahlt haben.

Unter [4] gibt es Tipps, wie auch ältere Mongo-DB-Systeme einfach abzusichern sind. Letztlich muss der Betreiber eine Authentifizierung aktivieren und das System am besten die direkte Verbindung zum Internet kappen.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben