工程师们注意，MongoDB 0day漏洞来了

文章预览

前言 近期，大批量的MongoDB实例因为配置漏洞遭遇了攻击，黑客无需身份认证即可登录MongoDB实例，从而删除了大量数据，并勒索受害者支付赎金才能要回自己的数据。截止目前为止，被劫持的MongoDB实例已经达到了一个惊人的数量。更加可恶的是，黑客在删除完业务数据库后，在里面的数据库留下了这段嘲讽+敲诈的文章。UCloud君简单翻译了下：“你的数据库可以通过公网IP免密码登陆，你tmd的是怎么想的？”吓得UCloud君迅速针对这个漏洞去检查了下自家的云MongoDB产品，确认并无遭受攻击的风险。 漏洞原因分析 其实熟悉MongoDB的同学会不难发现，漏洞原因非常简单，而且由来已久。从根本上说，这其实是MongoDB在设计之初的一个小疏忽。MongoDB为了让开发者能够更快地上手 ………………………………