The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.12.2015 20:11  Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных

В начале года группа исследователей обратила внимание на наличие в сети около 40 тысяч серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. Джон Мазерли (John Matherly), создатель поискового движка Shodan, спустя десять месяцев повторил опыт и пришёл к выводу, что в сети до сих пор присутствует около 35 тысяч незащищённых серверов MongoDB, общий размер данных на которых составляет 684.8 Тб.

Среди доступных для свободного доступа данных оказалось более 25 млн пользовательских аккаунтов различных приложений и сервисов. Из информации, которую можно получить через обращение к незащищённым серверам MongoDB, отмечаются приватные сообщения пользователей, персональные данные абонентов и хэши паролей. В том числе проблемы с настройкой доступа к MongoDB стали причиной утечки параметров 13 миллионов пользователей программы MacKeeper, предназначенной для оптимизации OS X. Большинство незащищённых экземпляров MongoDB размещены на облачных хостингах от Amazon, DigitalOcean и Aliyun/Alibaba.

Примечательно, что проведение аналогичного исследования в июле выявило лишь около 30 тысяч незащищённых серверов MongoDB и с тех пор число открытых БД MongoDB увеличилось на 5 тысяч. При этом наиболее популярной версией MongoDB среди незащищённых систем является 3.0.7, что вызывает удивление, так как начиная с версии 3.0 MongoDB по умолчанию принимает только локальные запросы, прикрепляясь к интерфейсу "localhost". Т.е. для приёма запросов с внешних адресов требуется явное изменение настроек по умолчанию, ведущее к снижению безопасности. Судя по всему, подобные незащищённые настройки могли стать следствием невнимательного обновления с ветки 2.x, в которой настройки по умолчанию подразумевали присоединение ко всем сетевым интерфейсам без задания параметров аутентификации.

По данным исследователя, ситуация с MongoDB не уникальна и открытие неаутентифицируемого доступа к БД через внешний сетевой интерфейс также наблюдается для таких NoSQL-систем, как Memcached, Redis, CouchDB, Cassandra и Riak. Проведение похожего анализа для Memcached выявило около 130 тысяч незащищённых экземпляров, доступных извне. Размер прокэшированных в них данных оценен в 8 Тб, а суммарных размер образуемого ими хранилища - 49 Пб. При желании злоумышленники могут использовать открытые экземпляры Memcached для хранения своих данных или для организации атак через подстановку фиктивных записей в кэш.

Для проведения исследования использовался сервис Shodan, который в отличие от традиционных поисковых систем осуществляет поиск устройств, доступных для обращений по Сети. Например, Shodan можно использовать для выявления серверов с определённым открытым сетевым портом или для поиска устройств, относящихся к категории "интернет вещей". Сервис предоставляет достаточно неплохую детализацию, например, его можно использовать для оценки степени внедрения HTTP/2 в глобальной сети (несмотря на объявление протокола SPDY устаревшим, число серверов с его поддержкой пока в шесть раз превышает число серверов с поддержкой HTTP/2).

  1. Главная ссылка к новости (https://blog.shodan.io/its-sti...)
  2. OpenNews: Релиз документо-ориентированной СУБД MongoDB 3.2
  3. OpenNews: Доступна документо-ориентированная СУБД MongoDB 3.0
  4. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  5. OpenNews: Разработчики MongoDB получили 150 млн долларов инвестиций
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mongodb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Геймер, 20:47, 17/12/2015 [ответить] [смотреть все]
  • +6 +/
    Всё текуче в этом мире
     
     
  • 2.3, A.Stahl, 20:53, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Неправда! Колбаса не текуча!
     
     
  • 3.6, nonymous, 21:17, 17/12/2015 [^] [ответить] [смотреть все]
  • +8 +/
    > Неправда! Колбаса не текуча!

    А ты сдави её хорошенько.

     
     
  • 4.24, A.Stahl, 22:19, 17/12/2015 [^] [ответить] [смотреть все]
  • +/
    Если хорошо сдавить, то и рельсы потекут Но давай не будем выходить за границы ... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 01:18, 18/12/2015 [^] [ответить] [смотреть все]  
  • +6 +/
    еще скажи что сдавливать рельсы не нормально.
     
  • 5.37, Какаянахренразница, 03:25, 18/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Существование колбасы нормально, но не необходимо Нормальное существование норм... весь текст скрыт [показать]
     
     
  • 6.39, Аноним, 04:15, 18/12/2015 [^] [ответить] [смотреть все]  
  • +10 +/
    Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?
     
     
  • 7.48, Какаянахренразница, 09:07, 18/12/2015 [^] [ответить] [смотреть все]  
  • +13 +/
    > Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?

    Хорошо-хорошо, я сдаюсь. Пускай будет по-твоему, мой анонимный друг.

    Нормальное функционирование вселенной невозможно без колбасы. Гераклит и юзер A.Stahl ошибались. Высказывание "Всё течёт, всё меняется" следует дополнить словами "и лишь колбаса постоянна".

    //ушёл писать трактат "Вязкость колбасы как метод познания реальности бытия"

     
  • 7.67, 808, 13:23, 18/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    а нахрена нужна калбаца если есть мясо 1 берём стейк 2 жарим Profit ... весь текст скрыт [показать]
     
  • 7.70, Аноним, 18:27, 18/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Нормальная Вселенная должна быть и с текучей водкой, чтоб был толк от колбасы ... весь текст скрыт [показать]
     
  • 3.36, Какаянахренразница, 03:23, 18/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Думаешь, колбаса будет всегда А вот станет колбаса 404 -- и быстренько изменитс... весь текст скрыт [показать]
     
     
  • 4.55, Аноним, 10:36, 18/12/2015 [^] [ответить] [смотреть все]  
  • +/
    500
     
  • 4.57, Аноним, 10:59, 18/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    колбаса будет всегда, это вопрос терминологии технически - колбаса, фактически ... весь текст скрыт [показать]
     
     
  • 5.59, Какаянахренразница, 11:57, 18/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Off-topic А почему бумага именно туалетная Специально, чтобы добавить дерьм ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 20:52, 17/12/2015 [ответить] [смотреть все]  
  • +12 +/
    Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!
     
     
  • 2.7, nonymous, 21:18, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    > Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!

    Товарищ младший лейтенант, перелогиньтесь.

     
  • 1.4, Dzmitry, 20:56, 17/12/2015 [ответить] [смотреть все]  
  • +/
    Поработали мы с Монгой 3 года. Хуже базы я не видел. В итоге выяснилось что тот же PostgreSQL делает всё то же самое (100% функционала монги), но быстрее :)
     
     
  • 2.13, anonymous, 21:41, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё нем... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 21:43, 17/12/2015 [^] [ответить] [смотреть все]  
  • –4 +/
    а вот и фанбой с покосившимся дырявым складом жсонов без задач
     
     
  • 4.35, Аноним, 01:59, 18/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    А вот и школьник-хейтер подтянулся)
     
  • 3.33, ололо, 00:23, 18/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    в постгре нет вообще никакого шардинга из коробки монге с тигром еще не исполнил... весь текст скрыт [показать]
     
  • 3.43, dlazerka, 07:40, 18/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    см ниже я ответил другому пользователю ... весь текст скрыт [показать]
     
  • 2.41, Vic, 06:51, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ничего что Монга и ПГ - это разные базы и разный принцип работы?
     
     
  • 3.42, dlazerka, 07:36, 18/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Я работал с другими NoSQL базами в одной большой и известной компании, и с ними ... весь текст скрыт [показать]
     
     
  • 4.72, Michael Shigorin, 21:43, 18/12/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Часом не сталкивались с Elliptics ... весь текст скрыт [показать]
     
     
  • 5.74, dlazerka, 00:24, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Нет Хорошая ... весь текст скрыт [показать]
     
     
  • 6.76, Michael Shigorin, 16:16, 19/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Автор говорит, что да http www it-sobytie ru system attachments files 000 001... весь текст скрыт [показать]
     
     
  • 7.77, Аноним, 19:46, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Автору веры нет Когда другие скажут - тогда поверю ... весь текст скрыт [показать]
     
  • 1.5, Аноним, 21:05, 17/12/2015 [ответить] [смотреть все]  
  • –1 +/
    >Некорректно настроенные серверы MongoDB

    А их можно настроить корректно?

     
     
  • 2.9, тигар, 21:25, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    можно но на хабрахабре наверное не написали Статью с большой С ага про это ... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, all_glory_to_the_hypnotoad, 21:46, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    их не только нужно настраивать, но и прятать глубоко в интанете ... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, lucentcode, 21:21, 17/12/2015 [ответить] [смотреть все]  
  • +/
    Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым доступом с любого хоста? Неужели они не понимали, что выставлять доступ к подобному ПО наружу не безопасно?
     
     
  • 2.78, Аноним, 19:47, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ты удивишься, но большинство таких, как ты - копипастящих чужие конфиги и знающи... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, index.php, 21:32, 17/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Неплохо
     
  • 1.12, Аноним, 21:38, 17/12/2015 [ответить] [смотреть все]  
  • +/
    После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект р... весь текст скрыт [показать]
     
     
  • 2.14, anonymous, 21:42, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    так они бахать суперпроекты умеют, а не красивый код и правильные конфиги ... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, Аноним, 21:47, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Вы удивитесь, но у авторов супрепроектов тоже две руки, две ноги и одна голова... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 21:57, 17/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Я уже скопировал На ноут всё не влезло, кое-что пришлось сохранить на магнитную... весь текст скрыт [показать]
     
     
  • 2.23, тигар, 22:17, 17/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    db collection drop и продавай им скопированое почти уверен что бэкапов у них ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Аноним, 22:46, 17/12/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    ясный пень, нет, ты читал инструкцию по бекапу этого поделия ... весь текст скрыт [показать]
     
     
  • 4.45, тигар, 08:29, 18/12/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    скажу больше - у меня он делается - ... весь текст скрыт [показать]
     
  • 1.25, Аноним, 22:20, 17/12/2015 [ответить] [смотреть все]  
  • –1 +/
    пал последний + перед SQL) люди волнуются!
     
  • 1.26, Аноним, 22:22, 17/12/2015 [ответить] [смотреть все]  
  • –2 +/
    имхо серебряная пуля в лице всех NoSQL по всей видимости выстрелила им же в ногу... весь текст скрыт [показать]
     
     
  • 2.73, Michael Shigorin, 21:45, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    > имhо

    Не только humble, но и totally wrong.

     
  • 1.29, th3m3, 23:12, 17/12/2015 [ответить] [смотреть все]  
  • +/
    А Redis по умолчанию, тоже открыт для мира?
     
  • 1.38, Аноним, 04:05, 18/12/2015 [ответить] [смотреть все]  
  • +1 +/
    Это в каком же дистрибутиве MongoDB по умолчанию слушает внешний интерфейс?
     
     
  • 2.40, Аноним, 05:15, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    MongoDB в режиме кластера?
    Private Network было лень строить.
     
  • 2.44, Аноним, 08:06, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Во всех как и memcached с redis )
     
  • 2.50, SunXE, 09:40, 18/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В официальных монговских репах так было Сейчас, по крайней мере 3-я ветка, по у... весь текст скрыт [показать] [показать ветку]
     
  • 1.71, Аноним, 20:37, 18/12/2015 [ответить] [смотреть все]  
  • +/
    аналогии с кассандрой - неточны там по-дефолту уже года три как довольно разумн... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor