文章总结： 攻击者正大规模扫描未启用认证的MongoDB实例，删除数据并植入勒索信息，其根源在于配置错误及不安全的Docker镜像。建议企业限制私有网络访问、启用SCRAM认证、配置防火墙规则及使用安全监测工具以防范此类风险。 综合评分： 83 文章分类： 数据安全,威胁情报,解决方案,漏洞预警,安全运营

黑客攻击MongoDB实例删除数据库并植入勒索信息

FreeBuf

2026年2月3日 18:03 上海

攻击者正通过大规模自动化勒索软件活动，持续攻击暴露在互联网上的MongoDB实例。攻击模式高度一致：攻击者扫描公网可访问的未受保护MongoDB数据库，删除存储数据后植入比特币勒索信息。

Part01

MongoDB实例遭入侵分析

最新证据显示，尽管单次勒索金额通常仅为500至600美元，此类攻击仍保持极高盈利性。从技术角度看，攻击模式虽简单但极具操作性：威胁行为者使用自动化扫描工具识别27017端口上未启用认证的MongoDB服务。

建立访问后，攻击者会先导出或枚举数据库内容评估价值，随后执行数据销毁操作。所有集合和数据库会被系统性地整体删除，之后在MongoDB实例中植入勒索信息。

受害者将收到威胁：除非在48小时时限内向攻击者控制的比特币钱包付款，否则数据将被永久删除。实际入侵分析显示，约45.6%完全暴露的MongoDB实例已存在勒索信息，表明受害者要么已支付赎金，要么数据遭不可恢复销毁。

值得注意的是，超过98%的勒索支付流向单一比特币钱包，暗示存在主导性威胁行为者协调运作这一盈利性活动。全网扫描发现超过20万台MongoDB服务器可公开访问，其中约3100个实例确认完全暴露且缺乏访问控制。

Part02

漏洞根源与传播途径

这种风险态势的根本原因在于部署配置错误而非软件漏洞。Docker镜像和复制粘贴的基础设施配置通常默认将MongoDB绑定到所有网络接口（0.0.0.0）且不强制认证。开发者在生产环境中部署这些模板时，常无意间将27017端口暴露于外网，导致未受保护数据库可直接被互联网访问。

对Docker Hub容器仓库的分析发现，30个不同命名空间存在763个配置不安全的MongoDB镜像。两个下载量均超1.5万次的流行项目包含完全相同的未认证数据库绑定配置，证明不安全的默认设置如何通过流行基础设施模板传播。

Part03

关键缓解措施

根据Flare建议，企业必须立即审计MongoDB部署情况以识别公开暴露实例。关键预防措施包括：将MongoDB限制在私有网络、启用SCRAM认证与基于角色的访问控制、配置防火墙规则阻止27017端口的公网入站流量、替换默认Docker镜像为强化配置版本。

通过Shodan Monitor等持续暴露监测工具和云安全态势管理平台，可在配置错误被利用前快速发现风险。虽然MongoDB目前不存在已知的认证前远程代码执行漏洞，但单个0Day漏洞就可能立即导致数十万台服务器遭受大规模自动化攻击。企业必须优先实施网络分段和即时认证强制执行，以消除这一持续威胁。

参考来源：

Hackers Attacking MongoDB Instances to Delete Database and Add Ransom Note

Hackers Attacking MongoDB Instances to Delete Database and Add Ransom Note

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客攻击MongoDB实例删除数据库并植入勒索信息》