Phân tích vụ tấn công MongoDB thông qua việc dựng honeypot

Khi phát triển dựa trên MongoDB, thỉnh thoảng vẫn có những trường hợp máy chủ bị tội phạm ransomware xâm nhập, xóa sạch dữ liệu trong DB rồi yêu cầu trả bitcoin. Cá nhân tôi từng trực tiếp chứng kiến một nhóm làm dự án ngay cạnh chỗ ngồi của mình gặp đúng chuyện này vào đầu năm 2018. Lúc đó tôi cũng đang làm với MongoDB nên thực sự rất hoảng, nhưng lại không biết cụ thể họ đã bị xâm nhập bằng cách nào.

Xin giới thiệu một bài viết phân tích ngắn gọn các truy vấn MongoDB đã được dùng trong kiểu tội phạm hack này bằng cách dựng một honeypot, tức một máy chủ mồi cố tình để lộ điểm yếu nhằm thu hút kẻ tấn công và phân tích thủ đoạn chúng sử dụng. (Tiếng Hàn) Có vẻ như nếu máy chủ DB có thể bị truy cập từ Internet bên ngoài thì chỉ cần quét là sự tồn tại của nó sẽ nhanh chóng bị lộ, và rồi đến một lúc nào đó sẽ bị chọc thủng thông qua các lỗ hổng kiểu như vậy. Đúng là DB phải được giấu thật kỹ để không bị lộ trực tiếp ra ngoài.

Tham khảo - Khái niệm honeypot:

http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233