The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Некорректно настроенные серверы MongoDB являются источником ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от opennews on 17-Дек-15, 20:47 
В начале года группа исследователей обратила внимание (https://www.opennet.ru/opennews/art.shtml?num=41661) на наличие в сети около 40 тысяч серверов MongoDB, доступных для внешних запросов из-за проблем с настройкой аутентифицированного доступа. John Matherly, создатель поискового движка Shodan, спустя десять месяцев повторил (https://blog.shodan.io/its-still-the-data-stupid/) опыт и пришёл к выводу, что в сети до сих пор присутствует (https://www.shodan.io/report/nlrw9g59) около 35 тысяч незащищённых серверов MongoDB, общий размер данных на которых составляет  684.8 Тб.


Среди доступных для свободного доступа данных оказалось более 25 млн пользовательских аккаунтов различных приложений и сервисов. В том числе проблемы с настройкой доступа к MongoDB стали причиной утечки (https://krebsonsecurity.com/2015/12/13-million-mackeeper-use.../) параметров 13 миллионов пользователей программы MacKeeper, предназначенной для оптимизации OS X. Среди информации, которую можно получить через обращение к незащищённым серверам  MongoDB, отмечаются приватные сообщения пользователей, персональные данные абонентов и хэши паролей. Большинство незащищённый экземпляров  MongoDB  размещены на облачных хостингах от Amazon, DigitalOcean и Alibaba.


Примечательно, что проведение аналогичного исследования в июле выявило лишь около 30 тысяч незащищённых серверов MongoDB и с тех пор число открытых БД MongoDB увеличилось. При этом наиболее популярной версией  MongoDB среди незащищённых систем  является 3.0.7, что вызывает удивление так как начиная с версии 3.0 MongoDB по умолчанию принимает только локальные запросы, прикрепляясь к "localhost". Т.е. для приёма запросов с внешних адресов требуется явное изменение конфигурации, ведущее к снижению безопасности. Судя по всему подобные незащищённые настройки могли стать следствием невнимательного обновления с ветки 2.x, в которой настройки по умолчанию подразумевали присоединение ко всем сетевым интерфейсам без задания параметров аутентификации.

URL: https://blog.shodan.io/its-still-the-data-stupid/
Новость: https://www.opennet.ru/opennews/art.shtml?num=43540

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Некорректно настроенные серверы MongoDB являются источником ..."  +6 +/
Сообщение от Геймер on 17-Дек-15, 20:47 
Всё текуче в этом мире
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Некорректно настроенные серверы MongoDB являются источником ..."  +2 +/
Сообщение от A.Stahl (ok) on 17-Дек-15, 20:53 
Неправда! Колбаса не текуча!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Некорректно настроенные серверы MongoDB являются источником ..."  +8 +/
Сообщение от nonymous on 17-Дек-15, 21:17 
> Неправда! Колбаса не текуча!

А ты сдави её хорошенько.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от A.Stahl (ok) on 17-Дек-15, 22:19 
Если хорошо сдавить, то и рельсы потекут. Но давай не будем выходить за границы нормальных условий? :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

34. "Некорректно настроенные серверы MongoDB являются источником ..."  +6 +/
Сообщение от Аноним (??) on 18-Дек-15, 01:18 
еще скажи что сдавливать рельсы не нормально.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Некорректно настроенные серверы MongoDB являются источником ..."  +1 +/
Сообщение от Какаянахренразница (ok) on 18-Дек-15, 03:25 
> Если хорошо сдавить, то и рельсы потекут. Но давай не будем выходить
> за границы нормальных условий? :)

Существование колбасы нормально, но не необходимо. Нормальное существование нормальной вселенной без нормальной колбасы вполне возможно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

39. "Некорректно настроенные серверы MongoDB являются источником ..."  +10 +/
Сообщение от Аноним (??) on 18-Дек-15, 04:15 
Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

48. "Некорректно настроенные серверы MongoDB являются источником ..."  +13 +/
Сообщение от Какаянахренразница (ok) on 18-Дек-15, 09:07 
> Что?! "Нормальная" Вселенная без нормальной колбасы? Да кому нужна такая вселенная?

Хорошо-хорошо, я сдаюсь. Пускай будет по-твоему, мой анонимный друг.

Нормальное функционирование вселенной невозможно без колбасы. Гераклит и юзер A.Stahl ошибались. Высказывание "Всё течёт, всё меняется" следует дополнить словами "и лишь колбаса постоянна".

//ушёл писать трактат "Вязкость колбасы как метод познания реальности бытия"

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

67. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от 808 (??) on 18-Дек-15, 13:23 
а нахрена нужна калбаца если есть мясо?
1. берём стейк
2. жарим
...
Profit!
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

70. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Аноним (??) on 18-Дек-15, 18:27 
Нормальная Вселенная должна быть и с текучей водкой, чтоб был толк от колбасы :)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

36. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Какаянахренразница (ok) on 18-Дек-15, 03:23 
> Неправда! Колбаса не текуча!

Думаешь, колбаса будет всегда? А вот станет колбаса 404 -- и быстренько изменится мировоззрение на более философское.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

55. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Аноним (??) on 18-Дек-15, 10:36 
500
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

57. "Некорректно настроенные серверы MongoDB являются источником ..."  +1 +/
Сообщение от Аноним (??) on 18-Дек-15, 10:59 
колбаса будет всегда, это вопрос терминологии. технически - колбаса, фактически - соя с туалетной бумагой
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

59. "Некорректно настроенные серверы MongoDB являются источником ..."  +2 +/
Сообщение от Какаянахренразница (ok) on 18-Дек-15, 11:57 
> колбаса будет всегда, это вопрос терминологии. технически - колбаса, фактически - соя
> с туалетной бумагой

Off-topic: А почему бумага именно "туалетная"? Специально, чтобы добавить дерьм^W драматизма? На самом деле-то речь об обычной целлюлозе. Дерево оно и в Африке дерево. Не очень питательно, но не ядовито и даже полезно для мышц кишечника. А уж соя -- самая настоящая еда.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

2. "Некорректно настроенные серверы MongoDB являются источником ..."  +12 +/
Сообщение от Аноним (??) on 17-Дек-15, 20:52 
Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Некорректно настроенные серверы MongoDB являются источником ..."  +8 +/
Сообщение от nonymous on 17-Дек-15, 21:18 
> Как будто это проблема и что-то плохое!? Данные должны быть доступны всем!

Товарищ младший лейтенант, перелогиньтесь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Dzmitry (??) on 17-Дек-15, 20:56 
Поработали мы с Монгой 3 года. Хуже базы я не видел. В итоге выяснилось что тот же PostgreSQL делает всё то же самое (100% функционала монги), но быстрее :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Некорректно настроенные серверы MongoDB являются источником ..."  +3 +/
Сообщение от anonymous (??) on 17-Дек-15, 21:41 
из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё немного подождите и евангелируйте. Ну и сравнивать монгу трёхлетней давности (до тигра) и свежий посгрес это тоже круто.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "Некорректно настроенные серверы MongoDB являются источником ..."  –4 +/
Сообщение от Аноним (??) on 17-Дек-15, 21:43 
а вот и фанбой с покосившимся дырявым складом жсонов без задач
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "Некорректно настроенные серверы MongoDB являются источником ..."  +2 +/
Сообщение от Аноним (??) on 18-Дек-15, 01:59 
А вот и школьник-хейтер подтянулся)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Некорректно настроенные серверы MongoDB являются источником ..."  +1 +/
Сообщение от ололо on 18-Дек-15, 00:23 
> из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё немного подождите и евангелируйте.

в постгре нет вообще никакого шардинга из коробки

> Ну и сравнивать монгу трёхлетней давности (до тигра) и свежий посгрес это тоже круто.

монге с тигром еще не исполнилось и года, примерно столько же постгря умеет адекватно работать с документами

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

43. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от dlazerka (ok) on 18-Дек-15, 07:40 
> из коробки в постгре нет шардинга нормального и сложных схем репликации, ещё
> немного подождите и евангелируйте. Ну и сравнивать монгу трёхлетней давности (до
> тигра) и свежий посгрес это тоже круто.

см ниже я ответил другому пользователю

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

41. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Vic (??) on 18-Дек-15, 06:51 
Ничего что Монга и ПГ - это разные базы и разный принцип работы?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от dlazerka (ok) on 18-Дек-15, 07:36 
> Ничего что Монга и ПГ - это разные базы и разный принцип
> работы?

Я работал с другими NoSQL базами в одной большой и известной компании, и с ними всё верно, вы правы -- совсем другой подход, чем к реляционным. Я их люблю и уважаю. Но после опыта с Монгой я считаю что это насмешка над СУБД.

Мы тоже думали сначала что монга это что-то другое. Но когда со временем начинаешь использовать 100% её возможностей, то понимаешь что по сути монга это key-value хранилище с syntactic sugar в виде JSON(BSON). То есть по сути работаешь со строками, то есть почти то же самое как если бы в ПГ создать таблицу с одним полем TEXT. Вот тебе и монга.
"Почти" -- потому что по TEXT не построишь индекс, зато по JSONB -- как раз. Плюс получаешь все вкусности SQL -- это и JOINs, и schema-full (когда говорят schema-less это на самом деле значит что теперь схему нужно менеджить самому, писать вручную скрипты foreach по всем строкам таблицы чтобы что-то поменять, вместо одного ALTER TABLE). И самое смешное, JSONB работает быстрее, чем монга (мерял по SELECT vs db.collection.find()).

Как один из примеров -- нам очень нужен был атомарный update, aka compareAndSet в нормальных NoSQL, или простой UPDATE в SQL. В монге единственный способ -- findAndModify, который suck balls и по перформансу, и по возможностям. То же самое с атомарным insert. И таких примеров у нас накопилась уйма. Шардинг у нас натурально ложился на наш бизнес -- one shard per customer, и поэтому никакой проблемы не было, тем более что в ПГ данные занимают меньше места на диске.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

72. "Некорректно настроенные серверы MongoDB являются источником ..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 18-Дек-15, 21:43 
> Я работал с другими NoSQL базами в одной большой и известной компании

Часом не сталкивались с Elliptics?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

74. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от dlazerka (ok) on 19-Дек-15, 00:24 
>> Я работал с другими NoSQL базами в одной большой и известной компании
> Часом не сталкивались с Elliptics?

Нет. Хорошая?

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

76. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 19-Дек-15, 16:16 
>>> Я работал с другими NoSQL базами в одной большой и известной компании
>> Часом не сталкивались с Elliptics?
> Нет. Хорошая?

Автор говорит, что да: http://www.it-sobytie.ru/system/attachments/files/000/001/10...

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

77. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Аноним (??) on 19-Дек-15, 19:46 
>>>> Я работал с другими NoSQL базами в одной большой и известной компании
>>> Часом не сталкивались с Elliptics?
>> Нет. Хорошая?
> Автор говорит, что да: http://www.it-sobytie.ru/system/attachments/files/000/001/10...

Автору веры нет. Когда другие скажут - тогда поверю.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

5. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от Аноним (??) on 17-Дек-15, 21:05 
>Некорректно настроенные серверы MongoDB

А их можно настроить корректно?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Некорректно настроенные серверы MongoDB являются источником ..."  –4 +/
Сообщение от тигар (ok) on 17-Дек-15, 21:25 
можно. но на хабрахабре наверное не написали Статью (с большой "С" ага) про это. вот Админы из xUSSR и наплодили этих +5к
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 17-Дек-15, 21:46 
> А их можно настроить корректно?

их не только нужно настраивать, но и прятать глубоко в интанете.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от lucentcode (ok) on 17-Дек-15, 21:21 
Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым доступом с любого хоста? Неужели они не понимали, что выставлять доступ к подобному ПО наружу не безопасно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от Аноним (??) on 19-Дек-15, 19:47 
> Мне одно интересно, кто настраивал сервера, на которых работают NoSQL-решения с открытым
> доступом с любого хоста? Неужели они не понимали, что выставлять доступ
> к подобному ПО наружу не безопасно?

Ты удивишься, но большинство таких, как ты - копипастящих чужие конфиги и знающих лишь командy yum install и репозитарии - так и делают.

Что говорить - глянь по приколу на своем локалхосте версию OpenSSH. Note: Текущая актуальная 7.1.

Угумьс?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от index.php on 17-Дек-15, 21:32 
Неплохо
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Аноним (??) on 17-Дек-15, 21:38 
После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект раз уж каким то лохам удается :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от anonymous (??) on 17-Дек-15, 21:42 
> После чтения такого начинаешь верить, что даже ты можешь забацать суперпрожект раз
> уж каким то лохам удается :)

так они бахать суперпроекты умеют, а не красивый код и правильные конфиги.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Некорректно настроенные серверы MongoDB являются источником ..."  +3 +/
Сообщение от Аноним (??) on 17-Дек-15, 21:47 
Вы удивитесь, но у авторов "супрепроектов" тоже две руки, две ноги и одна голова.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от Аноним (??) on 17-Дек-15, 21:57 
Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на магнитную ленту.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Некорректно настроенные серверы MongoDB являются источником ..."  +1 +/
Сообщение от тигар (ok) on 17-Дек-15, 22:17 
> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
> магнитную ленту.

db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Некорректно настроенные серверы MongoDB являются источником ..."  +3 +/
Сообщение от Аноним (??) on 17-Дек-15, 22:46 
>> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
>> магнитную ленту.
> db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет

ясный пень, нет, ты читал инструкцию по бекапу этого поделия?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

45. "Некорректно настроенные серверы MongoDB являются источником ..."  –2 +/
Сообщение от тигар (ok) on 18-Дек-15, 08:29 
>>> Я уже скопировал! На ноут всё не влезло, кое-что пришлось сохранить на
>>> магнитную ленту.
>> db.collection.drop() и продавай им скопированое. почти уверен что бэкапов у них нет
> ясный пень, нет, ты читал инструкцию по бекапу этого поделия?

скажу больше - у меня он делается! ;-)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

25. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от Аноним (??) on 17-Дек-15, 22:20 
пал последний + перед SQL) люди волнуются!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Некорректно настроенные серверы MongoDB являются источником ..."  –2 +/
Сообщение от Аноним (??) on 17-Дек-15, 22:22 
имхо серебряная пуля в лице всех NoSQL по всей видимости выстрелила им же в ногу ввиду их конченной архитектуры и ненужности в пределах нашей вселенной
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Некорректно настроенные серверы MongoDB являются источником ..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 18-Дек-15, 21:45 
> имhо

Не только humble, но и totally wrong.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от th3m3 (ok) on 17-Дек-15, 23:12 
А Redis по умолчанию, тоже открыт для мира?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Некорректно настроенные серверы MongoDB являются источником ..."  +1 +/
Сообщение от Аноним (??) on 18-Дек-15, 04:05 
Это в каком же дистрибутиве MongoDB по умолчанию слушает внешний интерфейс?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Аноним (??) on 18-Дек-15, 05:15 
MongoDB в режиме кластера?
Private Network было лень строить.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Некорректно настроенные серверы MongoDB являются источником ..."  –1 +/
Сообщение от Аноним (??) on 18-Дек-15, 08:06 
Во всех как и memcached с redis )
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

50. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от SunXE (ok) on 18-Дек-15, 09:40 
В официальных монговских репах так было. Сейчас, по крайней мере 3-я ветка, по умочанию на локалхосте поднимается.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

71. "Некорректно настроенные серверы MongoDB являются источником ..."  +/
Сообщение от Аноним (??) on 18-Дек-15, 20:37 
аналогии с кассандрой - неточны. там по-дефолту уже года три как довольно разумно все настроено.
а про разницу между SPDY и http2 - так ее - нету. ибо одно и то-же, несколько упрощая.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру