新闻摘要
根据国外媒体的最新报道,继大量MongoDB数据库遭到大规模勒索攻击之后,现在又有数百台存在安全缺陷的Elasticsearch服务器在过去的几个小时之内遭到了勒索攻击,并被擦除了服务器中的全部数据。安全研究专家Niall Merrigan估计,目前已经有超过2711台Elasticsearch服务器实例遭到了攻击。
事件报道
众所周知,在上周有超过三万四千多台存在安全漏洞的MongoDB数据库遭到了大规模勒索攻击,而根据安全研究专家的最新分析结果显示,在过去的几个小时之内又有数百台Elasticsearch实例的数据被非法擦除,而此次针对Elasticsearch服务器的攻击与之前针对MongoDB数据库的攻击模式极其相似。
此次攻击活动与之前的勒索攻击一样,攻击者入侵了Elasticsearch服务器之后会将主机中保存的数据全部删除,当服务器所有者向攻击者支付了赎金之后他们才可以拿回自己的数据。因此,安全研究专家建议广大Elasticsearch服务器的管理员们在官方发布了相应修复补丁之前暂时先将自己的网站服务下线,以避免遭到攻击者的勒索攻击。
在The Register所发布的初级研究报告中总共记录下了360台受影响的Elasticsearch服务器实例,但安全研究专家Niall Merrigan(他一直在追踪和调查MongoDB勒索攻击事件)随后便将受感染的实例数量更新至了2711台,这些服务器大多数都位于美国本土,也有少数服务器托管在中国、欧洲、以及新加坡等地,受影响的Elasticsearch服务器实例数据在不断上升。
如果此次针对Elasticsearch服务器实例的攻击模式与此前针对MongoDB的勒索攻击相似的话,那么受影响的Elasticsearch实例数量肯定还会迅速正佳。Shodan搜索引擎的创始人John Matherly表示,目前整个互联网中大约有三万五千多台Elasticsearch服务器存在安全缺陷,其中绝大多数的Elasticsearch服务器托管于亚马逊的Web服务器基础设施之中。根据Matherly的估计,目前互联网中大约有九万九千多台MongoDB数据库存在安全问题,截止至上周的星期四,总共有三万四千多台MongoDB服务器的数据被攻击者非法清除了(受影响数据多达数百TB)。
在今年的一月三日,仅有两千多个MongoDB数据库遭到了勒索攻击。需要注意的是,攻击者并非是将目标服务器中的数据直接清除了,而是在清除之前导出了这些数据,并声称会在服务器管理员支付了赎金之后返还这些数据。这也就意味着,在这种勒索攻击的过程中还伴随着敏感数据的泄漏。
如果你的Elastic实例遭到了勒索攻击的话,你将会看到如下图所示的勒索信息,攻击者会要求你支付0.2个比特币(价值约为160美金)。
SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org
SEND 0.1 BTC TO THIS WALLET: 1Eqrzhx6yQafKm6WwKMhNAsGMxZXP7uitr IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS 4rc0s@sigaint.org HOW TO BUY BITCOIN: https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
目前我们可以看到已有受害者支付了比特币
我们应该如何保护自己的服务器?
在此之前,Elasticsearch的安全顾问Itamar Syn-Hershko曾专门写过一篇技术文章,并在文章中详细介绍了开发者们应该如何配置Elastic服务器集群来避免实例遭到勒索攻击。Syn-Hershko表示:“无论你对实例做怎样的配置,安全的前提就是永远不要让你的集群节点暴露在网络中,虽然这是大家都知道的东西,但很明显并不是所有人都会按要求做。因此我要再次重申,永远永远不要把你的服务器集群节点暴露在公共网络中!”除此之外,Elastic的网络工程师Mike Paquette在几个小时之前也专门发布了一篇技术文章,并在文章中详细描述了我们如何才能让Elasticsearch服务器免受勒索攻击的侵害。
虽然托管在亚马逊AWS上的Elastic版本其默认配置是非常安全的,但是Elasticsearch数据库本身并不会执行任何形式的身份验证,因此管理员必须对服务器进行手动配置,以保证服务器在遇到不受信任的用户访问时能够进行有效的身份验证保护。
根据该公司在2013年给用户提供的安全实施建议:“Elasticsearch并没有单独用户的概念。基本上,任何人都可以通过超级用户权限来向你的Elasticsearch集群发送任意请求。因此,我们强烈建议各位网站管理员不要直接将不安全的Elasticsearch实例直接暴露在公共网络之中。”
安全建议
如果你是自己运行并管理Elasticsearch集群的话,公司建议你按照下列方法来保护自己的安全:
1. 将服务器中的所有数据定期备份至一个安全的地方,并定期创建快照。
2. 对运行Elasticsearch实例的服务器环境进行重新配置,不要将服务器集群直接暴露在公共网络之中。
3. 如果你必须要通过外网访问Elasticsearch集群,那么一定要在服务器中部署防火墙、VPN、逆向代理以及其他的一些安全保护技术来限制非法访问。
