MongoDB数据库遭勒索软件恶意删除如何处理?

字数: (1144)

阅读: (2382)

摘要：READ_ME_TO_RECOVER_YOUR_DATA，mongodb勒索软件解决办法

今天访问产品平台，发现没有数据，查看mongodb发现只有一个名为：READ_ME_TO_RECOVER_YOUR_DATA的集合。
之前也有类似经验，这个是一个非常流行的MongoDB勒索软件，攻击者通过扫描来找到没有设置身份验证的mongodb数据库，
删除数据库，并创建一个名为“READ_ME_TO_RECOVER_YOUR_DATA”的集合，集合中的文档写道：“您的数据库已下载并备份在我们的安全服务器上。要恢复您丢失的数据：向我们的BitCoin发送0.6 BTC”。
该勒索软件受害者众多，不幸的是如果你没有备份，通常是无法恢复数据的。不要将0.6btc发送到任何地址，攻击者也不太可能得到备份。

我们可以通过以下几个办法来提高系统的安全性：

一、开启身份验证
https://www.mongodb.com/docs/v7.0/reference/configuration-options/#security-options
在mongodb配置文件中设置下面内容即可开启身份验证。

security:
    authorization: enabled

开启之前可以先设置好管理员和数据库的用户和密码

# 进入mongodb，可以查询mongosh相关使用方法。
mongosh

# 切换到admin数据库
test> use admin;
# 查询系统所有用户(默认是没有的)
admin> db.system.users.find().pretty()
# 创建管理员
db.createUser( {user: "root",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]});
# 创建普通用户
db.createUser( {user: "user1",pwd: "123456",roles: [ { role: "dbOwner", db: "mydb" } ]});

设置好后，重启mongodb，即可生效。在应用程序中连接mongodb时，就需要加上用户和密码。

二、设置ip白名单
https://www.mongodb.com/docs/v7.0/reference/configuration-options/#net-options
设置文件中增加：