MongoDB extorted by a kraken ransomware virus. SOLVED

Recently plenty of servers became a victim of hacker attacks. The reason was the vulnerability of non-relational database mongodb. Hackers used this security hole to erase database from the server and demanded a ransom by inserting the following code in your database:

The victim could find this record in mongodb logfile (for ubuntu-servers the path is /var/log/mongodb/mongod.log).

When you recover the database hacker will erase it again, so even if you have backups on your server this will not solve a problem.

What should I do to protect my server?

DO NOT PAY TO THIS RASCAL! He will not return your database.

1. If your database should not be reachable for external ips, you may just disable remote access to a MongoDB server. Change mongod.conf (standart path for Ubuntu is /etc/mongod.conf) and uncomment or add the rule: If you need access to your database from external ip-address go to point 2.

2. Deny all incoming traffic from external ip-adresses on port 27017 (or your custom port for MongoDB server)! For Linux systems use iptables program. Remember that rules in iptables configurations fall into chains and chains have an order. At first you should open the port for some external ip and then close it for others. If you will change an order you will disable access for all ips. Insert this rule to open port for local database Insert rules for external servers that use your database (new rule for each ip) Then deny access for everyone else Attention! Do NOT use this command BEFORE you read next! Important additional information, you can read next rule in mongodb help Change Default Policy to DROP https://docs.mongodb.com/manual/tutorial/configure-linux-iptables-firewall/ iptables -P INPUT DROP Unfortunately some people don't read all sentences. This rule you can use only after completing all iptables configuration, because this rule can close to You all connections to your server including SSH immediately. And you should not use this rule in this exactly case, because closing mongodb port are good enough. But do not worry if you lost connection to your server, just restart it from provider web interface. All iptables rules will be dropped. To check all iptables configuration use this command: To drop ALL iptables: Important! This rules will work up to server restart. So if some rule working wrong and you lost connection to your server, just restart it via your provider web interface. Use iptables-persistent if you need automatically restarting service. Installation: If rules are determined but iptables-peristent are not installed, rules will be saved automatically during installation. To start service: Rules are saved to /etc/iptables/rules.v4 and /etc/iptables/rules.v6

Using this service, you can check your server for open ports: https://www.shodan.io (Just type your server's ip in the search box)

Моя MongoDB была взломана kraken ransomware virus

Недавно интернет захлестнула волна хакерских атак. Причиной стала уязвимость нереляционной базы данных mongodb. Хакеры, пользуясь дырой в безопасности, стирали базу с сервера и требовали выкуп, вставляя в базу следующий код:

insert PLEASE_READ.PLEASE_READ query: { _id: ObjectId('587029b2f933f51ba44157fb'), Info: "Your DB is Backed up at our servers, to restore send 0.1 BTC to the Bitcoin Address then send an email with your server ip", Bitcoin Address: "1J5ADzFv1gx3fsUPUY1AWktuJ6DF9P6hiF", Email: "[email protected]" } ninserted:1 keyUpdates:0 numYields:0 locks(micros) w:103225 103ms 2017-01-07T00:35:13.219+0100 [conn267032] command PLEASE_READ.$cmd command: insert { insert: "PLEASE_READ", ordered: true, documents: [ { _id: ObjectId('587029b2f933f51ba44157fb'), Info: "Your DB is Backed up at our servers, to restore send 0.1 BTC to the Bitcoin Address then send an email with your server ip", Bitcoin Address: "1J5ADzFv1gx3fsUPUY1AWktuJ6DF9P6hiF", Email: "[email protected]" } ] }

Вы можете найти эту запись в логах mongodb (в ubuntu этот лог находится по адресу /var/log/mongodb/mongod.log), если вы подверглись атаке.

После воостановления базы данных, хакер снова стирает ее, поэтому даже если на сервере были бэкапы базы, это решало проблему не надолго.

Что делать, чтобы защитить себя? - Если ваша база не должна быть доступна по сети, просто запретите ей слушать любые ip, кроме localhost. Для этого зайдите в mongod.conf (для стандартной конфигурации ubuntu это /etc/mongod.conf) и откомментируйте или допишите правило bind_ip = 127.0.0.1

Если вам требуется доступ к базе с других ip-адресов, переходите к пункту 2. - Запретите доступ к порту, который слушает mongodb (по умолчанию это порт 27017)! для linux-серверов это можно сделать при помощи ip-tables

для того, чтобы сервер мог работать с локальной базой iptables -A INPUT -s 127.0.0.1 -p tcp --dport 27017 -j ACCEPT

пропишите правила для внешних адресов ваших серверов, которые обращаются к базе (для каждого сервера свое правило) iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 27017 -j ACCEPT iptables -A INPUT -s yyy.yyy.yyy.yyy -p tcp --dport 27017 -j ACCEPT

��апретите доступ всем остальным адресам к этому порту iptables -A INPUT -p tcp --dport 27017 -j DROP

Для того, чтобы проверить конфигурацию iptables используйте команду iptables -L -n

Важно! Эти правила будут действовать до перезагрузки сервера. Поэтому, если какое-то правило сработало неверно или вы потеряли доступ к своему серверу, просто перезагрузите свою машину.

Для того, чтобы правила действовали после перезагрузки используйте iptables-persistent Установка sudo apt-get install iptables-persistent

Чтобы запустить сервис service iptables-persistent save service iptables-persistent start

Правила сохраняются в /etc/iptables/rules.v4 и /etc/iptables/rules.v6

При помощи данного сервиса вы можете проверить сервер вашего сайта на наличие доступных портов https://www.shodan.io (просто вбейте ip своего сервера в поисковую строку)

[email protected] - mongodb drop - РЕШЕНИЕ

ENGLISH VERSION

Недавно интернет захлестнула волна хакерских атак. Причиной стала уязвимость нереляционной базы данных mongodb. Хакеры, пользуясь дырой в безопасности,  стирали базу с сервера и требовали выкуп, вставляя в базу следующий код:

Вы можете найти эту запись в логах mongodb (в ubuntu этот лог находится по адресу /var/log/mongodb/mongod.log), если вы подверглись атаке.

После воостановления базы данных, хакер снова стирает ее, поэтому даже если на сервере были бэкапы базы, это решало проблему не надолго.

Что делать, чтобы защитить себя?

Ни в коем случае не платите! Мошенники не вернут вам данные.

1. Если ваша база не должна быть доступна по сети, просто запретите ей слушать любые ip, кроме localhost. Для этого зайдите в mongod.conf (для стандартной конфигурации ubuntu это /etc/mongod.conf) и откомментируйте или допишите правило:

Если вам требуется доступ к базе с других ip-адресов, переходите к пункту 2.

2. Запретите всем, кроме ваших серверов, включая локальный, доступ к порту, который слушает mongodb (по умолчанию это порт 27017)! Для linux-серверов это можно сделать при помощи iptables. Важно! В iptables правила выполняются одно за другим, поэтому вы сначала разрешаете к порту доступ с определенного ip и только после этого запрещаете доступ для других. Если это не соблюдать, все пакеты будут запрещены и работать не будет. для того, чтобы сервер мог работать с локальной базой

пропишите правила для внешних адресов ваших серверов, которые обращаются к базе (для каждого сервера свое правило)

запретите доступ всем остальным адресам к этому порту

Внимание, не применять до полного прочтения! Важное дополнение, в help mongodb присутствует строка Change Default Policy to DROP https://docs.mongodb.com/manual/tutorial/configure-linux-iptables-firewall/ iptables -P INPUT DROP К сожалению не все читают продолжение, что данное правило надо применять только полной настройки iptables, прописание этого правила мгновенно закроет Вам доступ до Вашего сервера. Потому как затрагивает ВСЕ протоколы, включая SSH по которомы вы настраиваете сервер. Но не беспокойтесь, это легко исправить, достаточно перезапустить сервер из панели управления сервером. При этом все правила iptables будут сброшены. В данном случае это правило вообще не требуется! Для того, чтобы проверить конфигурацию iptables используйте команду

при необходимости сбросить полностью все правила, достаточно ввести

Важно! Эти правила будут действовать до перезагрузки сервера. Поэтому, если какое-то правило сработало неверно или вы потеряли доступ к своему серверу, просто перезагрузите свою машину. Для того, чтобы правила действовали после перезагрузки используйте iptables-persistent Установка

Если правила у вас настроены, а iptables-peristent не установлен, то при установке, правила будут сохранены автоматически. Чтобы запустить сервис

Правила сохраняются в /etc/iptables/rules.v4 и /etc/iptables/rules.v6

При помощи данного сервиса вы можете проверить сервер вашего сайта на наличие доступных портов https://www.shodan.io (просто вбейте ip своего сервера в поисковую строку)