【重要安全预警】MongoDB数据库比特币勒索事件预警
发布时间：2017-11-29 15:47

2017年11月26日，阿里云云盾应急响应中心监测到MongoDB数据库比特币勒索事件再次爆发，经过技术分析，由于阿里云用户自建MongoDB数据库服务存在未授权访问高危漏洞，已有黑客利用该漏洞实施了攻击及勒索行为。

为了确保您在云上数据库业务的安全，建议您关注并参照以下方案自查和加固：

受影响范围：
本次事件受影响对象主要是阿里云用户自建的MongoDB数据库服务，同时，根据经验，Mysql、Redis、ElasticSearch、Hadoop、CouchDB等数据库服务也可能存在此类问题，建议您关注并自查。
注：云数据库MonggoDB版本等阿里云RDS服务不受此影响。

自查方法：
黑客在被勒索的数据库内遗留勒索信息，如果您发现以下特征，表示已被入侵：
1.数据库内被创建了“Wanrning”的数据库，并创建了"Readme"表;
2."Readme"表内的勒索留言内容：
{ "_id" : { "$oid" : "5a19985144e90e0224ecb5f8" }, 
"BitCoin" : "1EPA6qXtthvmp5kU82q8zTNkFfvUknsShS", 
"eMail" : "cru3lty@safe-mail.net", 
"Exchange" : "https://localbitcoins.com", 
"Solution" : "Your DataBase is downloaded and backed up on our secured servers. To recover your lost data: Send 0.2 BTC to our BitCoin Address and Contact us by eMail with your MongoDB server IP Address and a Proof of Payment. Any eMail without your MongoDB server IP Address and a Proof of Payment together will be ignored. You are welcome!" }

安全解决方案：
阿里云提示您重点关注业务数据安全，并尽快自查:
1.建议您尽快使用ECS快照功能或人工方式备份数据，数据备份建议使用本地和异地多重备份方式;
2.配置安全组策略禁止MongoDB数据服务端口的外部请求，或限制访问源IP，强化网络访问控制策略;
3.登录阿里云云盾控制台开通专业版本的态势感知或安骑士，开启检测和短信告警功能；
4.您还可以参考阿里云官方提供的安全加固手册对操作系统和服务进行人工加固，防止被黑客删除数据。
 
友情提示:即使您支付了赎金，仍可能存在无法找回数据的风险。

点击查看详细加密勒索防护方案。

如有任何问题，可随时通过工单或服务电话95187联系反馈。
                                           
                                                                                                                              阿里云安全