Analyse eines MongoDB-Hacking-Vorfalls durch den Aufbau eines Honeypots

Bei der Entwicklung auf Basis von MongoDB kommt es immer wieder vor, dass Ransomware-Kriminelle in den Server eindringen, den Inhalt der DB löschen und anschließend Bitcoin fordern. Ich habe Anfang 2018 selbst miterlebt, wie Leute, die neben mir an einem Teamprojekt arbeiteten, tatsächlich davon betroffen waren. Da ich damals ebenfalls mit MongoDB arbeitete, war ich ziemlich geschockt, wusste aber nicht, wie genau der Eindringversuch ablief.

Vorgestellt wird ein Artikel, der die bei dieser Art von Cyberkriminalität verwendeten MongoDB-Queries anhand eines Honeypots kurz analysiert – also eines Köder-Servers, der absichtlich Schwachstellen offenlegt, um die Methoden der Angreifer zu untersuchen. (Koreanisch) Wenn ein DB-Server vom öffentlichen Internet aus erreichbar ist, scheint seine Existenz durch Scans schnell offengelegt zu werden, und dann wird er irgendwann über Schwachstellen einfach durchbrochen. DBs sollte man also wirklich so absichern, dass sie nicht direkt exponiert sind.

Referenz – das Konzept des Honeypots:

http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233