尊敬的腾讯云客户:
您好,近日,腾讯云安全中心情报侧监控显示,目前云上部分用户MongoDB服务器仍然存在的未授权安全漏洞,黑客可利用此类漏洞发起新一轮勒索攻击,会导致您的服务器中的数据被擦除,并被索要赎金,同时网站服务器有被入侵控制等风险。
为避免您的业务受影响,防止被恶意攻击者勒索索要赎金,腾讯云安全中心建议您及时对照自身数据库服务应用开展安全自查和加固。
加固建议如下:
1.【风险描述】:
开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作而且可以远程访问数据库。
2.【修复建议】:
1、配置AUTH,做好访问认证。打开MongoDB配置文件(.conf),设置为auth=true;
2、修改访问端口和指定访问ip。使其只监听私有IP(或本地IP),不监听任何公网IP或DNS;
官方方案:具体可参考:https://docs.mongodb.com/manual/security/ 。
