Исследователи безопасности, изучающие поражение (https://www.opennet.ru/opennews/art.shtml?num=45833) вредоносным ПО незащищённых систем с СУБД MongoDB, опубликовали (https://twitter.com/0xDUDE) обновление (https://twitter.com/nmerrigan) статистики. За неделю вымогатели довели (https://docs.google.com/spreadsheets/d/1QonE9oeMOQHVh8heFIye...) до 40 тысяч число захваченных систем c СУБД MongoDB, на которых под видом применения шифровальщика удаляются все данные и публикуется требование заплатить выкуп за восстановление.
Также зафиксированы атаки и на другие хранилища, доступ к которым оставлен открытым без аутентификации. В частности, похожим способом поражено (https://docs.google.com/spreadsheets/d/1-txUnn6HFuETgN1mQwI4...) более 5 тысяч серверов с Elastic Search и около 500 серверов с СУБД CouchDB. Число уязвимых систем, потенциально доступных для атаки, оценивается в 33000 и 4600 серверов Elastic Search и CouchDB, соответственно. Также начинается волна атак на хранилища на базе Cassandra и Hadoop.
Злоумышленники уже атаковали (https://twitter.com/0xDUDE/status/822851618832007168) 124 хранилища на базе Hadoop, имеющих не прикрытую для внешнего доступа управляющую web-панель. Cреди атакованных имеются (https://twitter.com/0xDUDE/status/822878431515987972) очень крупные кластеры, хранящие сотни терабайт данных. Примечательно, что в случае Hadoop атакующие даже не пытаются вымогать деньги, как в случае остальных систем предлагая вернуть доступ к бэкапу, а занимаются вандализмом, просто удаляя все данные и оставляя запись "NODATA4U_SECUREYOURSHIT".
URL: https://www.bleepingcomputer.com/news/security/database-rans.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45903
классический случай ССЗБ
+ дох...щща
Тут таки (и везде таки) была бы полезна фича инсталлятора:
«создан юзер IUGHt*Н&&geT*75g0 пароль !@O(*Y&9p8f*UY(Yy;uk?»
запишите на бумажку и сохраните в надежном месте, иначе вы утратите доступ к установленной системе.
SECUREYOURSHIT и кто им доктор? ССЗБ
В начале 2000-х школьники пачками ломали сайты через гугл, и хвастались на всяких там ксакепах своим школоюмором в дефейсах сайтов. В результате вебмастеры одумались, и прикрыли свои жопы от всяких там инклюдов файлов с третьих хостов, sql-инъекций, а затем и xss, так что найти дыру для подавляющего большинства школьников стало слишком сложно.Но если вебмастера теперь хотя бы пытаются думать головой, то админы, очевидно, не все. И хорошо, что их ломают ради удаления данных -- это гораздо лучше, чем утечка приватных данных. Может быть, в результате, горе-админы попробуют думать всё же не жопой, а какой-нибудь более приспособленной для мышления частью тела.
Не стоит холивать на тему вебмастеров vs программеров vs админов vs etc идиотов хватает везде.
> Не стоит холивать на тему вебмастеров vs программеров vs админов vs etc
> идиотов хватает везде.Во-первых, я не холиварю. Во-вторых, я лишь указываю на то, что история повторяется. И результат будет тем же -- защищённость систем от этого вырастет. Кто именно обеспечит защищённость -- админы, программисты, вебмастера или идиоты -- это уже другой вопрос. Но кому-нибудь придётся. В конце-концов можно совместными усилиями.
Какая история? Раздолбайство? Так оно будет всегда, а если про историю, ну не было раньше в таком количестве NoSQL, а веб-мастера и веб-программеры до сих пор встречаются с портом 3306 наружу, им ещё и ftp открой и т.д. и тому подобное. И их не волнует что админ настроил им IPSec/OpenVPN и говорит использовать scp/sftp им видели те удобно по старинке работать...
Любопытно, что тебя плюсуют. Я начинаю подозревать, что отозвавшись так об админах-разгильдяях, я обидел кучу админов на опеннете, которые увидели в моих словах себя. Предвижу ещё большее количество взломов.
>Не стоит холивать на тему %NAME% идиотов хватает везде.Не стоит видеть везде холивары иразмещать бесполезные комменты.
>%NAME%На винфак.
Да нет там админов скорее всего. Там скорее разрабу "удобнее" цепляться из дома со своего ноутбука напрямую к AWS какому-нибудь, в котором он себе все порты пооткрывал. Удобнее же.
Сейчас не везде админов берут, всякие DevOps в моде, вон на хабре уже технический специалист - это сугубо программист.
Девопсы - да. Mysql, PostgreSQL и прочие мастадонты через это уже прошли, настало время гламурных поколений совершить виток и обновить карту грабель на поле.
> Девопсы - да. Mysql, PostgreSQL и прочие мастадонты через это уже прошли,
> настало время гламурных поколений совершить виток и обновить карту грабель на
> поле.Гы. "Обходя валяющиеся вокруг грабли, ты лишаешься драгоценного жизненного опыта"(ц) народ
))))
Не надо мне такой опыт.
Я лучше со стороны посмотрю.
Вот ведь опошлили слово. :)Девопсы в изначальном, хорошем смысле слова - это системные администраторы, умеющие программировать, и тесно взаимодействующие с разработчиками, чтобы учитывать требования по обслуживаемости продукта в архитектуре приложения и избежать ситуации, когда программисты отдают малопригодный для продакшена полуфабрикат с формулировкой "а дальше это проблемы админов".
Потом это модное словечко (как и все модное) подхватили хипстеры, не умеющие ни администрировать, ни программировать, ну вот и.
С сисадминами, впрочем, все так же, этим словом называют кого угодно, от инженеров какого-нибудь фейсбука, обслуживающих "в одно рыло" тысячи серверов, до эникейщика, меняющего картриджи.
>> это системные администраторы, умеющие программироватьили программисты, умеющие администрировать)
Программисты, умеющие администрировать обычно и являются причиной таких вот новостей :)
Как раз не умеющие администрировать.
Первое правило админа: запретить всё, что возможно :)
> Первое правило админа: запретить всё, что возможно :)Ага, например, включать комп, он ведь работает, а курицы из бухгалтерии полюбас сломают, пусть на калькуляторе считают.
> Вот ведь опошлили слово. :)
> Девопсы
> системные администраторы+ Хакеры.
Так это же совсем нужно быть умственно отсталым чтобы сознательно внедрять подобные дыры, это многое говорит об уровне разработчиков.
> Так это же совсем нужно быть умственно отсталым чтобы сознательно внедрять подобные
> дыры, это многое говорит об уровне разработчиков.А причем тут разработчики, они делают бд для работы в составе системы, если бы они делали бд для торчания наружу, то им бы пришлось к каждому полю, каждой строки, каждой таблицы цеплять права доступа, короче городить огород аля-DAP, который никто бы осилить не смог, и появился бы аля-LDAP, тормозной, кривой и дрявый. А так - переложили проблему на пользователей бд, из которых нормальные, то есть те, что имеют админа сети и админа бд, могут лишь плечами пожать, да и адекваты совмещающие пожмут плечами, а жадные ИПшники, у которых ВСЕ админит студент за шаурму, будут платить, и пусть платят, судьба такая.
Подтверждаю. Программист запрашивал у меня помощь в открытии NFS наружу, в интернет, «чтоб удобней было файлы класть на сервер, а то я из дома сейчас часто работаю».
Админ оставить наружу открытым порт да еще без авторизации не может по Определению, иначе это просто не админ.. Автору поста надо на самом деле уже учиться думать не попой, а головой
не надо путать администратора сети с администратором бд, это разные направления, хотя для мелких конторок, как правило, 1 человек, который больше одно или другое = конфликт интересов; А с логикой - тыж программист, иди мне стол компьютерный запрограммируй, вам в 90-00е.
зачем нужен вообще такой администратор бд который не знает , что у него открыты порты на весь инет без авторизации?? а с такой логикой Вам в 80е :)
Почему не знает, Знает!, только ему до лампочки, рискует максимум работой, и как можно догадаться - паршивой
> Среди атакованных имеются очень крупные кластеры, хранящие сотни терабайт данных. Примечательно, что в случае Hadoop атакующие даже не пытаются вымогать деньгиНу ещё бы. Попробуй перед этим эти терабайты выкачать, а потом ещё и хранить.
Наркоман щтоле, чё их качать? Шифруют прям по месту, и только ключ себе отправляют.
WTF? HDFS довольно тяжелое и неповоротливое живтоне. Шифровать он вздумал, ага.
> Наркоман щтоле, чё их качать? Шифруют прям по месту, и только ключ
> себе отправляют.Я посмотрю как ты будешь шифровать по месту, хакер локалхоста. Это тебе не офтопик где вирус шифровальщик пробежался и пошифровал тебе всё и отправил ключ.
Отлично, просто отлично. Дали им закрытые корпоративные сети, дали им Kerberos, нет, «будем деплоить голой… голым бекендом в интернеты». Побольше бы такого ада, со сносом всех данных и банкротствами компаний, больше, БОЛЬШЕ!11Может, хоть тогда что-то поменяется. Хотя нет, вряд ли.
> Отлично, просто отлично. Дали им закрытые корпоративные сети, дали им Kerberos, нет,
> «будем деплоить голой… голым бекендом в интернеты». Побольше бы такого
> ада, со сносом всех данных и банкротствами компаний, больше, БОЛЬШЕ!11
> Может, хоть тогда что-то поменяется. Хотя нет, вряд ли.Да не дай бог, силовикам че потрут, ониж сканеры сетевые к огнестрелу прировняют, а libpcap к оружию массового поражения, за терроризм закрывать начнут, чтобы только одуваны в сети цвели беспарольными портами наружу.
No SQL = No Data!
Опять атака на школоло и раздолбаев с тестовыми конфигами в продакшене...
Правильно, NoSQL - NoData.
Мне показалось что все тренировочные видео по AWS начинаются с того как открыть все соединения на виртуалку и потом дальше уже не вспоминают.
> Примечательно, что в случае Hadoop атакующие даже не пытаются вымогать деньги, как в случае остальных систем предлагая вернуть доступ к бэкапу, а занимаются вандализмом, просто удаляя все данные и оставляя запись "NODATA4U_SECUREYOURSHIT"Хех, правильно делают, мб поубавится д-ов в айти.
Больше потерянных данных - больше затраты на IT, рабочих мест и зарплаты квалифицированных админов.
> Больше потерянных данных - больше затраты на IT, рабочих мест и зарплаты
> квалифицированных админов.Аминь
Админь :))
именно.
А то блатота охерела, сынок научился устанавливать игрушку запуском сетупа - все, в админа и охеренная зарплата. а нормального спеца понижают и за копейки жопу новому "насяльника" подтирать. Или увольняют.
Дарвинизм, как он есть.
> занимаются вандализмом, просто удаляя все данные и оставляя запись "NODATA4U_SECUREYOURSHIT"FIXED: занимаются бесплатным обучением, просто удаляя все данные и оставляя запись "NODATA4U_SECUREYOURSHIT"