中国领先的IT技术网站
|
|

知名搜索引擎Elasticsearch成为勒索软件敲诈目标

安全研究专家Niall Merrigan估计,目前已经有超过2711台Elasticsearch服务器实例遭到了攻击。

作者:WisFree来源:安全客|2017-01-17 15:18

沙龙活动 | 去哪儿、陌陌、ThoughtWorks在自动化运维中的实践!10.28不见不散!


勒索软件

新闻摘要

根据国外媒体的最新报道,继大量MongoDB数据库遭到大规模勒索攻击之后,现在又有数百台存在安全缺陷的Elasticsearch服务器在过去的几个小时之内遭到了勒索攻击,并被擦除了服务器中的全部数据。安全研究专家Niall Merrigan估计,目前已经有超过2711台Elasticsearch服务器实例遭到了攻击。

超过2711台Elasticsearch服务器实例遭到了攻击

事件报道

众所周知,在上周有超过三万四千多台存在安全漏洞的MongoDB数据库遭到了大规模勒索攻击,而根据安全研究专家的最新分析结果显示,在过去的几个小时之内又有数百台Elasticsearch实例的数据被非法擦除,而此次针对Elasticsearch服务器的攻击与之前针对MongoDB数据库的攻击模式极其相似。

此次攻击活动与之前的勒索攻击一样,攻击者入侵了Elasticsearch服务器之后会将主机中保存的数据全部删除,当服务器所有者向攻击者支付了赎金之后他们才可以拿回自己的数据。因此,安全研究专家建议广大Elasticsearch服务器的管理员们在官方发布了相应修复补丁之前暂时先将自己的网站服务下线,以避免遭到攻击者的勒索攻击。

在The Register所发布的初级研究报告中总共记录下了360台受影响的Elasticsearch服务器实例,但安全研究专家Niall Merrigan(他一直在追踪和调查MongoDB勒索攻击事件)随后便将受感染的实例数量更新至了2711台,这些服务器大多数都位于美国本土,也有少数服务器托管在中国、欧洲、以及新加坡等地,受影响的Elasticsearch服务器实例数据在不断上升。

受影响的Elasticsearch服务器实例数据在不断上升

如果此次针对Elasticsearch服务器实例的攻击模式与此前针对MongoDB的勒索攻击相似的话,那么受影响的Elasticsearch实例数量肯定还会迅速正佳。Shodan搜索引擎的创始人John Matherly表示,目前整个互联网中大约有三万五千多台Elasticsearch服务器存在安全缺陷,其中绝大多数的Elasticsearch服务器托管于亚马逊的Web服务器基础设施之中。根据Matherly的估计,目前互联网中大约有九万九千多台MongoDB数据库存在安全问题,截止至上周的星期四,总共有三万四千多台MongoDB服务器的数据被攻击者非法清除了(受影响数据多达数百TB)。

在今年的一月三日,仅有两千多个MongoDB数据库遭到了勒索攻击。需要注意的是,攻击者并非是将目标服务器中的数据直接清除了,而是在清除之前导出了这些数据,并声称会在服务器管理员支付了赎金之后返还这些数据。这也就意味着,在这种勒索攻击的过程中还伴随着敏感数据的泄漏。

如果你的Elastic实例遭到了勒索攻击的话,你将会看到如下图所示的勒索信息,攻击者会要求你支付0.2个比特币(价值约为160美金)。

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org

SEND 0.1 BTC TO THIS WALLET: 1Eqrzhx6yQafKm6WwKMhNAsGMxZXP7uitr IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS 4rc0s@sigaint.org HOW TO BUY BITCOIN: https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

Elastic实例遭到了勒索攻击的勒索信息

目前我们可以看到已有受害者支付了比特币

已有受害者支付了比特币

我们应该如何保护自己的服务器?

在此之前,Elasticsearch的安全顾问Itamar Syn-Hershko曾专门写过一篇技术文章,并在文章中详细介绍了开发者们应该如何配置Elastic服务器集群来避免实例遭到勒索攻击。Syn-Hershko表示:“无论你对实例做怎样的配置,安全的前提就是永远不要让你的集群节点暴露在网络中,虽然这是大家都知道的东西,但很明显并不是所有人都会按要求做。因此我要再次重申,永远永远不要把你的服务器集群节点暴露在公共网络中!”除此之外,Elastic的网络工程师Mike Paquette在几个小时之前也专门发布了一篇技术文章,并在文章中详细描述了我们如何才能让Elasticsearch服务器免受勒索攻击的侵害。

虽然托管在亚马逊AWS上的Elastic版本其默认配置是非常安全的,但是Elasticsearch数据库本身并不会执行任何形式的身份验证,因此管理员必须对服务器进行手动配置,以保证服务器在遇到不受信任的用户访问时能够进行有效的身份验证保护。

根据该公司在2013年给用户提供的安全实施建议:“Elasticsearch并没有单独用户的概念。基本上,任何人都可以通过超级用户权限来向你的Elasticsearch集群发送任意请求。因此,我们强烈建议各位网站管理员不要直接将不安全的Elasticsearch实例直接暴露在公共网络之中。”

安全建议

如果你是自己运行并管理Elasticsearch集群的话,公司建议你按照下列方法来保护自己的安全:

1. 将服务器中的所有数据定期备份至一个安全的地方,并定期创建快照。

2. 对运行Elasticsearch实例的服务器环境进行重新配置,不要将服务器集群直接暴露在公共网络之中。

3. 如果你必须要通过外网访问Elasticsearch集群,那么一定要在服务器中部署防火墙、VPN、逆向代理以及其他的一些安全保护技术来限制非法访问。

【编辑推荐】

  1. 从德国勒索软件活动看恶意代码的生存方式
  2. 千万别付钱!史上最贵勒索软件作者“忘记”备份密钥
  3. 剖析Mamba-磁盘加密型勒索软件
  4. 花式勒索,仅去年12月新增33款勒索软件变种
  5. 9招教你企业应如何防范勒索软件
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

网管员必读—-网络安全

本书共10章,介绍的内容包括恶意软件(包括病毒、木马和蠕虫等)的深度防御方法,黑客的主要类型和防御方法,企业网络内、外部网络防火墙系...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× Python最火的编程语言