The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных

17.12.2015 20:11

В начале года группа исследователей обратила внимание на наличие в сети около 40 тысяч серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. Джон Мазерли (John Matherly), создатель поискового движка Shodan, спустя десять месяцев повторил опыт и пришёл к выводу, что в сети до сих пор присутствует около 35 тысяч незащищённых серверов MongoDB, общий размер данных на которых составляет 684.8 Тб.

Среди доступных для свободного доступа данных оказалось более 25 млн пользовательских аккаунтов различных приложений и сервисов. Из информации, которую можно получить через обращение к незащищённым серверам MongoDB, отмечаются приватные сообщения пользователей, персональные данные абонентов и хэши паролей. В том числе проблемы с настройкой доступа к MongoDB стали причиной утечки параметров 13 миллионов пользователей программы MacKeeper, предназначенной для оптимизации OS X. Большинство незащищённых экземпляров MongoDB размещены на облачных хостингах от Amazon, DigitalOcean и Aliyun/Alibaba.

Примечательно, что проведение аналогичного исследования в июле выявило лишь около 30 тысяч незащищённых серверов MongoDB и с тех пор число открытых БД MongoDB увеличилось на 5 тысяч. При этом наиболее популярной версией MongoDB среди незащищённых систем является 3.0.7, что вызывает удивление, так как начиная с версии 3.0 MongoDB по умолчанию принимает только локальные запросы, прикрепляясь к интерфейсу "localhost". Т.е. для приёма запросов с внешних адресов требуется явное изменение настроек по умолчанию, ведущее к снижению безопасности. Судя по всему, подобные незащищённые настройки могли стать следствием невнимательного обновления с ветки 2.x, в которой настройки по умолчанию подразумевали присоединение ко всем сетевым интерфейсам без задания параметров аутентификации.

По данным исследователя, ситуация с MongoDB не уникальна и открытие неаутентифицируемого доступа к БД через внешний сетевой интерфейс также наблюдается для таких NoSQL-систем, как Memcached, Redis, CouchDB, Cassandra и Riak. Проведение похожего анализа для Memcached выявило около 130 тысяч незащищённых экземпляров, доступных извне. Размер прокэшированных в них данных оценен в 8 Тб, а суммарных размер образуемого ими хранилища - 49 Пб. При желании злоумышленники могут использовать открытые экземпляры Memcached для хранения своих данных или для организации атак через подстановку фиктивных записей в кэш.

Для проведения исследования использовался сервис Shodan, который в отличие от традиционных поисковых систем осуществляет поиск устройств, доступных для обращений по Сети. Например, Shodan можно использовать для выявления серверов с определённым открытым сетевым портом или для поиска устройств, относящихся к категории "интернет вещей". Сервис предоставляет достаточно неплохую детализацию, например, его можно использовать для оценки степени внедрения HTTP/2 в глобальной сети (несмотря на объявление протокола SPDY устаревшим, число серверов с его поддержкой пока в шесть раз превышает число серверов с поддержкой HTTP/2).

  1. Главная ссылка к новости (https://blog.shodan.io/its-sti...)
  2. OpenNews: Релиз документо-ориентированной СУБД MongoDB 3.2
  3. OpenNews: Доступна документо-ориентированная СУБД MongoDB 3.0
  4. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  5. OpenNews: Разработчики MongoDB получили 150 млн долларов инвестиций
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Геймер (?), 20:47, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Всё текуче в этом мире
     
     
  • 2.3, A.Stahl (ok), 20:53, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Неправда! Колбаса не текуча!
     
     
  • 3.6, nonymous (?), 21:17, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Неправда! Колбаса не текуча!

    А ты сдави её хорошенько.

     
     
  • 4.24, A.Stahl (ok), 22:19, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Если хорошо сдавить, то и рельсы потекут. Но давай не будем выходить за границы нормальных условий? :)
     
     
  • 5.34, Аноним (-), 01:18, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    еще скажи что сдавливать рельсы не нормально.
     
  • 5.37, Какаянахренразница (ok), 03:25, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если хорошо сдавить, то и рельсы потекут. Но давай не будем выходить
    > за границы нормальных условий? :)

    Существование колбасы нормально, но не необходимо. Нормальное существование нормальной вселенной без нормальной колбасы вполне возможно.

     
     
  • 6.39, Аноним (-), 04:15, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?
     
     
  • 7.48, Какаянахренразница (ok), 09:07, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +13 +/
    > Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?

    Хорошо-хорошо, я сдаюсь. Пускай будет по-твоему, мой анонимный друг.

    Нормальное функционирование вселенной невозможно без колбасы. Гераклит и юзер A.Stahl ошибались. Высказывание "Всё течёт, всё меняется" следует дополнить словами "и лишь колбаса постоянна".

    //ушёл писать трактат "Вязкость колбасы как метод познания реальности бытия"

     
  • 7.67, 808 (??), 13:23, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а нахрена нужна калбаца если есть мясо?
    1. берём стейк
    2. жарим
    ...
    Profit!
     
  • 7.70, Аноним (-), 18:27, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальная Вселенная должна быть и с текучей водкой, чтоб был толк от колбасы :)
     
  • 3.36, Какаянахренразница (ok), 03:23, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Неправда! Колбаса не текуча!

    Думаешь, колбаса будет всегда? А вот станет колбаса 404 -- и быстренько изменится мировоззрение на более философское.

     
     
  • 4.55, Аноним (-), 10:36, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    500
     
  • 4.57, Аноним (-), 10:59, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    колбаса будет всегда, это вопрос терминологии. технически - колбаса, фактически - соя с туалетной бумагой
     
     
  • 5.59, Какаянахренразница (ok), 11:57, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > колбаса будет всегда, это вопрос терминологии. технически - колбаса, фактически - соя
    > с туалетной бумагой

    Off-topic: А почему бумага именно "туалетная"? Специально, чтобы добавить дерьм^W драматизма? На самом деле-то речь об обычной целлюлозе. Дерево оно и в Африке дерево. Не очень питательно, но не ядовито и даже полезно для мышц кишечника. А уж соя -- самая настоящая еда.

     

  • 1.2, Аноним (-), 20:52, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!
     
     
  • 2.7, nonymous (?), 21:18, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!

    Товарищ младший лейтенант, перелогиньтесь.

     

  • 1.4, Dzmitry (??), 20:56, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поработали мы с Монгой 3 года. Хуже базы я не видел. В итоге выяснилось что тот же PostgreSQL делает всё то же самое (100% функционала монги), но быстрее :)
     
     
  • 2.13, anonymous (??), 21:41, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё немного подождите и евангелируйте. Ну и сравнивать монгу трёхлетней давности (до тигра) и свежий посгрес это тоже круто.
     
     
  • 3.16, Аноним (-), 21:43, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • –4 +/
    а вот и фанбой с покосившимся дырявым складом жсонов без задач
     
     
  • 4.35, Аноним (-), 01:59, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вот и школьник-хейтер подтянулся)
     
  • 3.33, ололо (?), 00:23, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё немного подождите и евангелируйте.

    в постгре нет вообще никакого шардинга из коробки

    > Ну и сравнивать монгу трёхлетней давности (до тигра) и свежий посгрес это тоже круто.

    монге с тигром еще не исполнилось и года, примерно столько же постгря умеет адекватно работать с документами

     
  • 3.43, dlazerka (ok), 07:40, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё
    > немного подождите и евангелируйте. Ну и сравнивать монгу трёхлетней давности (до
    > тигра) и свежий посгрес это тоже круто.

    см ниже я ответил другому пользователю

     
  • 2.41, Vic (??), 06:51, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего что Монга и ПГ - это разные базы и разный принцип работы?
     
     
  • 3.42, dlazerka (ok), 07:36, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я работал с другими NoSQL базами в одной большой и известной компании, и с ними ... текст свёрнут, показать
     
     
  • 4.72, Michael Shigorin (ok), 21:43, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Я работал с другими NoSQL базами в одной большой и известной компании

    Часом не сталкивались с Elliptics?

     
     
  • 5.74, dlazerka (ok), 00:24, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я работал с другими NoSQL базами в одной большой и известной компании
    > Часом не сталкивались с Elliptics?

    Нет. Хорошая?

     
     
  • 6.76, Michael Shigorin (ok), 16:16, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> Я работал с другими NoSQL базами в одной большой и известной компании
    >> Часом не сталкивались с Elliptics?
    > Нет. Хорошая?

    Автор говорит, что да: http://www.it-sobytie.ru/system/attachments/files/000/001/106/original/Histor

     
     
  • 7.77, Аноним (-), 19:46, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Я работал с другими NoSQL базами в одной большой и известной компании
    >>> Часом не сталкивались с Elliptics?
    >> Нет. Хорошая?
    > Автор говорит, что да: http://www.it-sobytie.ru/system/attachments/files/000/001/106/original/Histor

    Автору веры нет. Когда другие скажут - тогда поверю.

     

  • 1.5, Аноним (-), 21:05, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Некорректно настроенные серверы MongoDB

    А их можно настроить корректно?

     
     
  • 2.9, тигар (ok), 21:25, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • –4 +/
    можно. но на хабрахабре наверное не написали Статью (с большой "С" ага) про это. вот Админы из xUSSR и наплодили этих +5к
     
  • 2.18, all_glory_to_the_hypnotoad (ok), 21:46, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А их можно настроить корректно?

    их не только нужно настраивать, но и прятать глубоко в интанете.

     

  • 1.8, lucentcode (ok), 21:21, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым доступом с любого хоста? Неужели они не понимали, что выставлять доступ к подобному ПО наружу не безопасно?
     
     
  • 2.78, Аноним (-), 19:47, 19/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым
    > доступом с любого хоста? Неужели они не понимали, что выставлять доступ
    > к подобному ПО наружу не безопасно?

    Ты удивишься, но большинство таких, как ты - копипастящих чужие конфиги и знающих лишь командy yum install и репозитарии - так и делают.

    Что говорить - глянь по приколу на своем локалхосте версию OpenSSH. Note: Текущая актуальная 7.1.

    Угумьс?

     

  • 1.11, index.php (?), 21:32, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неплохо
     
  • 1.12, Аноним (-), 21:38, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект раз уж каким то лохам удается :)
     
     
  • 2.14, anonymous (??), 21:42, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект раз
    > уж каким то лохам удается :)

    так они бахать суперпроекты умеют, а не красивый код и правильные конфиги.

     
  • 2.19, Аноним (-), 21:47, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы удивитесь, но у авторов "супрепроектов" тоже две руки, две ноги и одна голова.
     

  • 1.20, Аноним (-), 21:57, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на магнитную ленту.
     
     
  • 2.23, тигар (ok), 22:17, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
    > магнитную ленту.

    db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет

     
     
  • 3.28, Аноним (-), 22:46, 17/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
    >> магнитную ленту.
    > db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет

    ясный пень, нет, ты читал инструкцию по бекапу этого поделия?

     
     
  • 4.45, тигар (ok), 08:29, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
    >>> магнитную ленту.
    >> db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет
    > ясный пень, нет, ты читал инструкцию по бекапу этого поделия?

    скажу больше - у меня он делается! ;-)

     

  • 1.25, Аноним (-), 22:20, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    пал последний + перед SQL) люди волнуются!
     
  • 1.26, Аноним (-), 22:22, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    имхо серебряная пуля в лице всех NoSQL по всей видимости выстрелила им же в ногу ввиду их конченной архитектуры и ненужности в пределах нашей вселенной
     
     
  • 2.73, Michael Shigorin (ok), 21:45, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > имhо

    Не только humble, но и totally wrong.

     

  • 1.29, th3m3 (ok), 23:12, 17/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А Redis по умолчанию, тоже открыт для мира?
     
  • 1.38, Аноним (-), 04:05, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это в каком же дистрибутиве MongoDB по умолчанию слушает внешний интерфейс?
     
     
  • 2.40, Аноним (-), 05:15, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    MongoDB в режиме кластера?
    Private Network было лень строить.
     
  • 2.44, Аноним (-), 08:06, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Во всех как и memcached с redis )
     
  • 2.50, SunXE (ok), 09:40, 18/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В официальных монговских репах так было. Сейчас, по крайней мере 3-я ветка, по умочанию на локалхосте поднимается.
     

  • 1.71, Аноним (-), 20:37, 18/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    аналогии с кассандрой - неточны. там по-дефолту уже года три как довольно разумно все настроено.
    а про разницу между SPDY и http2 - так ее - нету. ибо одно и то-же, несколько упрощая.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру