存在“网站“被拖库””风险，安全性降低40% [高危] MongoDB未授权访问 -- 360网站安全漏洞

版权声明：本文为博主原创文章，转载请注明来源。 https://blog.csdn.net/y101101025/article/details/60956782

360网站安全漏洞高危提示：存在“网站“被拖库””风险，安全性降低40% [高危] MongoDB未授权访问 – 360网站安全漏洞

漏洞修复：

1、数据库启动时添加auth参数

./mongod --fork --auth

2、添加mongo用户

./mongo
use admin
db.addUser("username", "userpassword")

错误提示：E QUERY [thread1] TypeError: db.addUser is not a function
错误解决：由于使用了新版的mongo数据库把addUser改为createUser。

db.createUser({"user":"yourusername", "pwd":"yourpwd", customData:{},  "roles":[{role:"dbAdmin", db:"admin"}]},{ w: "majority" , wtimeout: 5000 })

3、设置ACL，即绑定本地IP
可以在数据库启动时设置参数

./mongod --fork --auth --bind_ip 127.0.0.1

或是设置配置文件

vim /etc/mongodb.conf

添加

bind_ip = 127.0.0.1

最后在360网站安全上重新检测: