В Сети зафиксирована (https://medium.com/@mbromileyDFIR/its-10pm-do-you-know-...) новая атака на серверы с СУБД MongoDB, доступные без аутентификации Выявлено (https://twitter.com/achillean/status/816385533538631680) около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации (в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены (https://twitter.com/0xDUDE/status/816798596997726209)).Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта (https://twitter.com/0xDUDE/status/815293674011693056/photo/1) база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.
Если раньше подобная беспечность приводила (https://www.opennet.dev/opennews/art.shtml?num=41661) к утечк (https://www.opennet.dev/opennews/art.shtml?num=43540)е данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями).
С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить (https://docs.mongodb.com/manual/administration/security-chec.../) привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить (https://docs.mongodb.com/manual/tutorial/enable-authentication/) доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию.
URL: https://www.bleepingcomputer.com/news/security/mongodb-datab.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=45817
Делай backup! Ведь ты же сделал backup?
>> Делай backup! Ведь ты же сделал backup?Точноа!!! Делай бэкап и открывай доступ без пароля!!!
Это же открытый веб, зачем там закрывать доступ?) кредитные кары с cvv тоже на публику.
> Делай backup! Ведь ты же сделал backup?Если бы уязвимость обнаружили Касперский или Др. Вэб, первым комментом было бы ехидство по поводу "сами создали".
"Лаборатория Касперского была уличена в создании уязвимой БД!"
тут, по-моему, беспроигрышный вариант: если не подчистили открытые наружу порты, то вероятность того, что бекап существует крайне невелика
> в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены... и так будет с каждым, кто не настраивает свои сервисы.
Так только ж арчешкольники все время чего-то конфигуряют. А у серьезных дядек на это времени нет, у них более важные дело есть - флудить в Пейсбуке/Твитторе о том, как все плохо и куды-котиццо-мир.
Каждая веб-макака использует MongoDB
хайп же, даже этой новостью опять хайп поднимают :)
MongoDB была создана в 2009 году. По твоему, уже почти 10 лет хайп поднимают?
Неа, вебмакаки всё на мускуле и сидят. А монга - всего-лишь на порядочек более быстрая субд, чем рсубд. С элементами объектности.
Наконец то!
Кстати, почему на опеннете не освещаются новости такого опенсорсного проекта, как биткоин? Что это, забывчивость или идеологическая непереносимость?
Там же их много разных и каждый пилит свою реализацию со своими алгоритмами. Вы про офф клиент который может за пару дней оффлайна выкачать гигов 10 ?
Как и дистрибутивов GNU/Linux, как и (в частности) дистрибутивов GNU/Linux, нацеленных на "проверку безопасности", как и скинов для Chromium. Но о них-то новости пишутся, про каждый минор к тому же. Про GNU Taler даже написали, хотя он и в начале, и сейчас не пользуется такой популярностью, как биткоин. Тут явно не обошлось без директивного указания не замечать слона.
> Как и дистрибутивов GNU/Linux, как и (в частности) дистрибутивов GNU/Linux, нацеленных
> на "проверку безопасности", как и скинов для Chromium. Но о них-то
> новости пишутся, про каждый минор к тому же.Потому что, кому-то это видимо интересно и он написал об этом новость.
ваш КО> Про GNU Taler даже написали, хотя он и в начале, и сейчас не пользуется
> такой популярностью, как биткоин.И это тоже, скорее всего, кому-то было интересно. Иначе бы не написал(а) новость об этом. Вы ведь в курсе, откуда здесь новости берутся и не путаете опеннет с каким-либо другим сайтом? ;)
http://www.opennet.dev/announce_news.shtml?cache=off> Тут явно не обошлось без директивного указания
> не замечать слона.Вы пытались запостить и вас "отбрили"? Или вы не пытались, но точно знаете, что злостные рептилоиды в лице Максима и Ко "зацензорят" все, что может помешать завоеванию мирового господства? *scnr* )
> оф. клиент
выкачать гигов 10
уже давно не 10, больше года назад смотрел было больше 40.
> Что это, забывчивость или идеологическая непереносимость?Разве что Ваша: http://www.opennet.dev/keywords/bitcoin.html
Целых семь новостей, в среднем одна в год, и все они связаны не напрямую с биткоином, а с биржами, неким Крейгом Райтом, угонами чьих-то частных акков и т. д. Про развитие самого биткоина ни новости.
Мань, тебе никто ничего не должен. Напишешь "правильные" новости - будут, не напишешь - жалуйся в спортлото.
Пишите новости, будет освещаться. Только сразу скажу, о срaчах по поводу размера блока, колебаниях курса и вяканьях политиков тут новостей не будет, как и резводов про аренду мощностей для майнинга которые так любят на быд*лохабре. А больше там писать особо и не о чем - не о минорных же версиях електрума. Валюта постепенно захватывает мир, это уже не новость.
Про тот же segwit, например, неплохо было бы на пальцвх объяснить, благо там не особо сложна базовая идея
Сказал аноним как отрезал.
> Кстати, почему на опеннете не освещаются новости такого опенсорсного проекта, как биткоин?Так вот же, прямо в этой статье.
Из серии "Нахрена нам админ? Тут установить одной командой"
Неа. И серии "работает - не трогай".>В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной.
Это из серии "В линуксе не нужно настраивать фаервол".