知名搜索引擎Elasticsearch成为勒索软件敲诈目标

新闻摘要

根据国外媒体的最新报道,继大量MongoDB数据库遭到大规模勒索攻击之后,现在又有数百台存在安全缺陷的Elasticsearch服务器在过去的几个小时之内遭到了勒索攻击,并被擦除了服务器中的全部数据。安全研究专家Niall
Merrigan估计,目前已经有超过2711台Elasticsearch服务器实例遭到了攻击。

事件报道

众所周知,在上周有超过三万四千多台存在安全漏洞的MongoDB数据库遭到了大规模勒索攻击,而根据安全研究专家的最新分析结果显示,在过去的几个小时之内又有数百台Elasticsearch实例的数据被非法擦除,而此次针对Elasticsearch服务器的攻击与之前针对MongoDB数据库的攻击模式极其相似。

此次攻击活动与之前的勒索攻击一样,攻击者入侵了Elasticsearch服务器之后会将主机中保存的数据全部删除,当服务器所有者向攻击者支付了赎金之后他们才可以拿回自己的数据。因此,安全研究专家建议广大Elasticsearch服务器的管理员们在官方发布了相应修复补丁之前暂时先将自己的网站服务下线,以避免遭到攻击者的勒索攻击。

在The Register所发布的初级研究报告中总共记录下了360台受影响的Elasticsearch服务器实例,但安全研究专家Niall

Merrigan(他一直在追踪和调查MongoDB勒索攻击事件)随后便将受感染的实例数量更新至了2711台,这些服务器大多数都位于美国本土,也有少数服务器托管在中国、欧洲、以及新加坡等地,受影响的Elasticsearch服务器实例数据在不断上升。

如果此次针对Elasticsearch服务器实例的攻击模式与此前针对MongoDB的勒索攻击相似的话,那么受影响的Elasticsearch实例数量肯定还会迅速正佳。Shodan搜索引擎的创始人John

Matherly表示,目前整个互联网中大约有三万五千多台Elasticsearch服务器存在安全缺陷,其中绝大多数的Elasticsearch服务器托管于亚马逊的Web服务器基础设施之中。根据Matherly的估计,目前互联网中大约有九万九千多台MongoDB数据库存在安全问题,截止至上周的星期四,总共有三万四千多台MongoDB服务器的数据被攻击者非法清除了(受影响数据多达数百TB)。

在今年的一月三日,仅有两千多个MongoDB数据库遭到了勒索攻击。需要注意的是,攻击者并非是将目标服务器中的数据直接清除了,而是在清除之前导出了这些数据,并声称会在服务器管理员支付了赎金之后返还这些数据。这也就意味着,在这种勒索攻击的过程中还伴随着敏感数据的泄漏。

如果你的Elastic实例遭到了勒索攻击的话,你将会看到如下图所示的勒索信息,攻击者会要求你支付0.2个比特币(价值约为160美金)。

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF
YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER
SENDING THE BITCOINS p1l4t0s@sigaint.org

SEND 0.1 BTC TO THIS WALLET: 1Eqrzhx6yQafKm6WwKMhNAsGMxZXP7uitr IF
YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER
SENDING THE BITCOINS 4rc0s@sigaint.org HOW TO BUY BITCOIN:
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

目前我们可以看到已有受害者支付了比特币

我们应该如何保护自己的服务器?

在此之前,Elasticsearch的安全顾问Itamar
Syn-Hershko曾专门写过一篇技术文章,并在文章中详细介绍了开发者们应该如何配置Elastic服务器集群来避免实例遭到勒索攻击。Syn-Hershko表示:“无论你对实例做怎样的配置,安全的前提就是永远不要让你的集群节点暴露在网络中,虽然这是大家都知道的东西,但很明显并不是所有人都会按要求做。因此我要再次重申,永远永远不要把你的服务器集群节点暴露在公共网络中!”除此之外,Elastic的网络工程师Mike

Paquette在几个小时之前也专门发布了一篇技术文章,并在文章中详细描述了我们如何才能让Elasticsearch服务器免受勒索攻击的侵害。

虽然托管在亚马逊AWS上的Elastic版本其默认配置是非常安全的,但是Elasticsearch数据库本身并不会执行任何形式的身份验证,因此管理员必须对服务器进行手动配置,以保证服务器在遇到不受信任的用户访问时能够进行有效的身份验证保护。

根据该公司在2013年给用户提供的安全实施建议:“Elasticsearch并没有单独用户的概念。基本上,任何人都可以通过超级用户权限来向你的Elasticsearch集群发送任意请求。因此,我们强烈建议各位网站管理员不要直接将不安全的Elasticsearch实例直接暴露在公共网络之中。”

安全建议

如果你是自己运行并管理Elasticsearch集群的话,公司建议你按照下列方法来保护自己的安全:

1. 将服务器中的所有数据定期备份至一个安全的地方,并定期创建快照。

2. 对运行Elasticsearch实例的服务器环境进行重新配置,不要将服务器集群直接暴露在公共网络之中。

3. 如果你必须要通过外网访问Elasticsearch集群,那么一定要在服务器中部署防火墙、VPN、逆向代理以及其他的一些安全保护技术来限制非法访问。

作者:WisFree

来源:51CTO

时间: 2024-12-21 22:06:42

知名搜索引擎Elasticsearch成为勒索软件敲诈目标的相关文章

Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份

近期,Linux服务器管理员们报告了多次攻击,这些攻击导致服务器的web文件夹消失.网站无限期关闭.在BleepingComputer网站的论坛上,众多帖子证实了大量这样的攻击. 据一个受害者说,此类攻击最可能是SSH暴力攻击造成的入侵.在每一次这样的攻击中,攻击者都会删除web文件夹并留下一个read_me文件,里面的链接指向一个贴有勒索信的Pastebin网站页面.攻击者在勒索信中索取2个比特币来交换文件. 什么是勒索软件 勒索软件通常会将用户系统上文档.邮件.数据库.源代码.图片.压缩文件

想了解APT与加密勒索软件?那这篇文章你绝不能错过……

目前全球APT攻击趋势如何?针对APT攻击,企业应如何防护?针对最普通的APT攻击方式加密勒索软件,现今有何对策?带着这些疑问,51CTO记者采访到APT攻击方面的安全专家,来自亚信安全的APT治理战略及网关产品线总监白日和产品管理部总监徐江明. APT攻击成头号网络安全杀手 自2010年开始,APT攻击就已经成为取代传统黑客攻击的一种非常重要的攻击手段,而且呈现出愈演愈烈的形势.白日认为,目前,在攻击形态上,其主要呈现为一个非常简易的.最普通的APT攻击方式--恶意加密勒索软件.在攻击目标上,

安卓勒索软件进一步扩散

勒索软件在网络中有着自己的一种"魅力",自2014年从多平台开始不断的增长.安卓用户已经成为各种勒索软件的目标,最常见的就是假冒警察去吓唬那些受害者要收缴他们设备上的非法内容. 最流行的网络攻击媒介"网络诈骗"从开始流行到现在一直没有改变.这是滥用非官方市场和论坛去传播推荐或者变异的恶意代码造成的. 但从2016以来网络上的犯罪分子的手法更多,更加老练的去用恶意工具.攻击者试图进入更深入的payloads中的应用中(ex.kali).要做到这一点,他们会对其加密,然

Forcepoint 2016年全球威胁报告:入侵、内部攻击和高级勒索软件;针对亚洲地区被称为 “Jaku”的新型僵尸网络

Forcepoint,作为通过革命性安全技术保障各机构业务驱动的全球领导者,于今日发布了Forcepoint 2016年度全球威胁报告.通过在世界范围内155个国家收集多达30多亿的数据点,该报告详述了部分最新发展演变的攻击. 本年度报告分析了如下攻击活动的影响: · 通过Forcepoint特别调查(SI)小组六个月调查发现,被Forcepoint称为"Jaku"的全新僵尸网络活动: · 由不断消失的外围导致一系列投机勒索软件.反恶意软件工具和问题的产生,给网络安全专家和他们旨在保护

这8种方法让你的云环境无懈可击 让勒索软件见鬼去吧!

本文讲的是这8种方法让你的云环境无懈可击让勒索软件见鬼去吧,云计算的发展推动更快的协作和数据传输,同样也让网络罪犯快速传播勒索软件提供了便利条件,面对这种严峻形势我们应该怎样去做呢?别慌,学会这8步,让你的云环境不再惧怕勒索软件! 保护云计算层 Evident.io公司创始人兼首席执行官Tim Prendergast表示:"你可以做的最关键的事情就是保护云计算层,这很容易自动化,对于初创公司和大型企业来说,这也容易实现." 保护云计算层可确保系统和数据的可用性,并防止攻击者利用你的计算

苹果封杀首款针对Mac OS X用户的勒索软件:下载已超6500次

周日的时候,Palo Alto Networks公司发现,在Mac PC上使用Transmission BitTorrent客户端的用户,竟然成为了一款勒索软件的目标.此类软件通常会采取很强的算法来加密受感染设备上的文件,然后等待受害人主动用钱(或比特币等价值物)赎回解锁用的加密密钥(而且交钱后也不一定拿得回来).尽管Windows平台已经出现过相当多的勒索软件,但我们这是首次在OS X平台上见到. Palo Alto Networks的研究人员认为,"KeRanger"是他们在OS

Android勒索软件正使用伪随机密码和双锁屏攻击

近两年,勒索软件变得越发猖獗.不仅企业面临勒索软件的威胁,许多消费者也同样成为勒索软件的目标.最近,赛门铁克安全团队发现,Android.Lockscreen(锁屏恶意软件)的新变种正在通过伪随机密码,阻止受害者在不支付赎金的情况下解锁设备.此前,这类勒索软件的早期版本使用硬编码密码锁定屏幕.然而,安全专业人士能够对代码进行反向工程,为受害者提供密码解锁设备.此外,攻击者通过结合自定义锁屏和设备锁屏来增加解锁难度.赛门铁克过去针对类似移动威胁的监测显示,此类木马程序能够在传播前,直接在移动设备上

劫持管理员权限 赛门铁克提醒用户警惕Android勒索软件

如今,勒索软件已经成为当今最主要的恶意软件类型之一,尤其是随着移动设备的大范围普及,针对移动平台的勒索软件也随之大增.近期,赛门铁克安全团队发现一种面向Android设备的勒索软件变种Android.Lockdroid.E.该恶意软件利用点击劫(Clickjacking)手段,试图诱骗用户为恶意软件提供设备管理员的权限.与勒索软件相同,移动恶意软件一旦获得管理员权限,便能够锁定设备,更改设备密码,甚至通过重置出厂设置删除所有的用户数据. 根据赛门铁克安全大数据技术显示,勒索软件威胁已经蔓延至全球

勒索软件盯上了大数据 Elasticsearch服务器遭受勒索软件攻击 中国境内1956个设备可能受影响

据Sodan数据显示,暴露在公共互联网上的35,000个Elasticsearch集群可能遭受一系列勒索软件攻击,ZDNet数据显示其中中国境内有59台服务器受到影响,但据NTI绿盟威胁情报中心称,国内暴露在互联网上的ElasticSearch设备数字已经达到1956个.如今,攻击者们也很清楚"大数据"在使用者心中的分量. 受到攻击的服务器,可以看到类似下面的文本,要求支付比特币以便解密数据. 根据攻击者留下的邮件地址及比特币地址.勒索文本等信息,研究员将勒索软件的攻击者分为三类,并给