根据阿里云威胁情报系统监测的内容，2017年9月2日，国外安全研究人员发现多个黑客组织劫持勒索全球范围内数万台MongoDB服务器数据，存在高安全风险。

受影响范围：
本次劫持勒索事件的影响范围包括用户自建的Mysql、Redis、MongoDB、ElasticSearch、Hadoop、CouchDB等数据相关服务。
注：阿里云RDS服务不受此影响。

排查确认方法：

如果您发现以下特征，表示已被入侵：

1.数据库内被创建了一个“Wanrning”的数据库，并创建了"Readme"表;

2.勒索留言内容内的邮箱地址：

cru3lty@safe-mail.net

wolsec@secmail.pro

mongodb@tfwno.gf

3.比特币地址：

1ConGo1xRHCh3K6L1ywL4U1KHuC7XYQGqU

1Mk61Q8squW8WjSWp3qEAYL6pu9TR1Cro9

1E7TCtPCCwd1wPyFHXrGbNECfaEzMjzGHg

事件原因：

数据库(Redis、MongoDB、MySQL、MSsql Server)等相关重要业务服务直接可以通过互联网无密码或弱密码登录访问。

安全解决方案：
阿里云提示您重点关注业务数据安全，并尽快自查:
1.尽快使用云服务器(ECS)快照功能或人工方式备份数据，数据备份建议使用本地和异地多重备份方式;
2.配置安全组策略禁止Mysql、Redis、MongoDB、ElasticSearch、Hadoop、CouchDB等服务端口的外部请求，或限制访问源IP;
3.登录阿里云云盾控制台开通免费版或以上版本的态势感知或安骑士，查看态势感知“弱点漏洞”或安骑士“基线检查"结果,人工验证并修复漏洞;
4).您还可以参考阿里云官方提供的详细安全加固手册对操作系统和服务进行人工加固，防止被入侵删除数据。

点击查看详细加密勒索防护方案。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

                                                                                  阿里云安全团队