近期，業(yè)內(nèi)出現(xiàn)攻擊者大規(guī)模利用MongoDB 未授權(quán)漏洞，使用腳本通過掃描公網(wǎng)，成功爆破MongoDB未授權(quán)讀取數(shù)據(jù)庫、Ransoware攻擊、剝奪原有數(shù)據(jù)。此漏洞影響幾乎全球的MongoDB用戶，因此業(yè)內(nèi)建議廣大的MongoDB用戶需要重視且加強保護，建立安全可控的網(wǎng)絡(luò)環(huán)境，實施有效的防護措施，加強線上安全防護力度，預(yù)防被攻擊。

MongoDB未授權(quán)漏洞是由于MongoDB未開啟身份驗證，導(dǎo)致外部可以無限連接，從而可以實現(xiàn)MongoDB未授權(quán)訪問，訪問者完全可以做任何操作，從而被攻擊者利用，很多公司的用戶信息被盜，甚至利用Ransoware攻擊使數(shù)據(jù)庫及系統(tǒng)遭受重大損失。

因此MongoDB用戶需要重視安全，加強MongoDB的安全控制：

1、使用更強的密碼，強制密碼更新機制等；

2、實施限制外部IP訪問數(shù)據(jù)庫；

3、 將訪問端口從默認端口27017更改為其他不常用的端口；

4、在偵測外部攻擊時，及時阻止IP,攜帶惡意腳本的客戶端；

5、 啟動數(shù)據(jù)庫身份驗證；

比如，(MongoDB 2.6版本)啟動身份驗證，通過./mongo –qosp指令或者在mongo.conf文件中添加配置項”auth=true”來開啟數(shù)據(jù)庫；

6、禁止公網(wǎng)訪問，僅允許可信公司訪問等；

7、定期檢查Mongo的安全，及時發(fā)現(xiàn)漏洞和用戶操作不當(dāng)；

這樣，MongoDB用戶就可以大大減少漏洞被攻擊的風(fēng)險，從而提高系統(tǒng)的安全性。總之，MongoDB的安全性是用戶需要自覺加大保護力度的，只有正確的使用方法才能保證數(shù)據(jù)安全。