又有15000多台Elasticsearch服务器遭到黑客攻击

弹性搜索
图片:Elastic,ZDNet

在过去的两个星期中,黑客一直侵入Elasticsearch服务器,这些服务器在没有密码的情况下在Internet上保持打开状态,并试图擦除其内容,同时还留下了网络安全公司的名称,试图转移责任。

据安全研究人员约翰·威辛顿John Wethington)称,这一活动正在进行中,并在本报告中提供了ZDNet的帮助,其中第一批入侵始于3月24日左右。

攻击似乎是在自动脚本的帮助下进行的,该脚本扫描Internet上不受保护的ElasticSearch系统,连接到数据库,尝试擦除其内容,然后创建一个名为nightlionsecurity.com的新空索引。

但是,攻击脚本似乎并非在所有情况下都有效,因为nightlionsecurity.com索引也存在于内容保持不变的数据库中。

但是,在许多Elasticsearch服务器上,擦除行为是很明显的,因为日志条目只是在最近的日期(例如3月24日,25日,26日等)附近中断。由于Elasticsearch服务器内部存储的数据具有高度易变性,因此很难量化删除数据的确切系统数量。

尽管3月26日的攻击看起来像是恶作剧,但它们已经不再有趣了。根据BinaryEdge搜索,在第一次访问时,大约有150台已损毁的Elasticsearch服务器,现在存在nightlionsecurity.com索引的Elasticsearch服务器数量已增加到15,000多个。

考虑到同一BinaryEdge列出了直接在公共互联网上公开的总共34,500台Elasticsearch服务器,因此这个数字非常大。

be-es-instances.png
图片:ZDNet

Wethington当前正在编译受此攻击影响的服务器列表,以试图确定可能已中断服务的公司。

此外,在研究此问题时,Wethington还发现了另一位也将Elasticsearch服务器作为目标的黑客。该攻击者闯入不安全的服务器,并留下一条消息告诉受害者他们已被黑客入侵,并敦促他们通过电子邮件与他人联系。当前,只有40台服务器收到此消息,表明攻击规模较小。

be-es-instance-2.png
图片:ZDNet

但是,这些类型的破坏性攻击被Elasticsearch数据抹除并不是第一次。在2017年春季和夏季,多个黑客组织对包括Elasticsearch在内的多种数据库技术进行了数据库勒索攻击。

0 0 vote
Article Rating

未经允许不得转载:x-sec » 又有15000多台Elasticsearch服务器遭到黑客攻击

赞 (1) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x