|
|
在MongoDB之后��,勒索軟件組暴露了Elasticsearch集群,灰鴿子,遠(yuǎn)程控制軟件
![]()
超過600個Elasticsearch實(shí)例已刪除其數(shù)據(jù)并替換為贖金消息
從數(shù)千個可公開訪問的MongoDB數(shù)據(jù)庫中刪除數(shù)據(jù)后��,勒索軟件組開始對可從互聯(lián)網(wǎng)訪問并且未正確保護(hù)的Elasticsearch集群執(zhí)行相同操作��。
Elasticsearch是一個基于Java的搜索引擎��,在企業(yè)環(huán)境中很受歡迎��。它通常與日志收集和數(shù)據(jù)分析和可視化平臺一起使用��。
受到勒索軟件攻擊的Elasticsearch集群的第一個報(bào)告出現(xiàn)在周四的官方支持論壇上��,來自正在運(yùn)行可從Internet訪問的測試部署的用戶��。
來自群集的所有數(shù)據(jù)被擦除��,一個索引留下了贖金消息閱讀:“發(fā)送0.2 BTC到此電子郵件:1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r如果您想要恢復(fù)您的數(shù)據(jù)庫��!發(fā)送此電子郵件您的服務(wù)器IP后發(fā)送比特幣��。
Niall Merrigan是一名安全研究人員��,他在過去兩個星期里一直在跟蹤MongoDB數(shù)據(jù)庫��,類似的方式在Twitter上報(bào)告說��,到目前為止��,超過600個Elasticsearch集群已經(jīng)受到影響��。
這可能只是一個開始��,因?yàn)橐恍┕烙?jì)數(shù)��,可上網(wǎng)的Elasticsearch部署的數(shù)量在35,000左右��。擦除的MongoDB數(shù)據(jù)庫的數(shù)量從幾百幾千增長到幾千天��,受害者的數(shù)量最終達(dá)到34,000多, 遠(yuǎn)程控制, 遠(yuǎn)程控制軟件。
據(jù)專家介紹��,沒有理由將Elasticsearch集群暴露給互聯(lián)網(wǎng)��。為了應(yīng)對這些最近的攻擊��,搜索技術(shù)和分布式系統(tǒng)架構(gòu)師Itamar Syn-Hershko發(fā)表了一篇博客文章��,其中提出了確保Elasticsearch部署的建議��。
“有一個單頁應(yīng)用程序需要查詢Elastic并獲得jsons的顯示��?通過一個軟件外觀��,可以做請求過濾��,審計(jì)日志記錄��,最重要的是��,密碼保護(hù)您的數(shù)據(jù)��,”Syn-Hershko說��。 “沒有這個��,(a)你肯定綁定到一個公共IP��,你不應(yīng)該��,(b)你有風(fēng)險(xiǎn)不必要的更改你的數(shù)據(jù)��,(c)��,最糟糕的 - 你不能控制誰訪問什么和所有的數(shù)據(jù)是可見的所有人看到��,F(xiàn)在發(fā)生了什么現(xiàn)在與那些Elasticsearch集群��。
如果您受到這些攻擊的影響��,不建議支付贖金��,因?yàn)楣粽呖赡軐?shí)際上沒有數(shù)據(jù)��。幫助MongoDB受害者的專家報(bào)告��,他們在服務(wù)器日志中沒有看到在擦除之前被過濾的數(shù)據(jù)的證據(jù)��。
針對服務(wù)器的反R網(wǎng)攻擊不太可能很快停止��,特別是因?yàn)镸ongoDB和Elasticsearch不是通常在互聯(lián)網(wǎng)上不受保護(hù)的唯一類型的數(shù)據(jù)存儲系統(tǒng)��。
|
|
發(fā)表于 2017-1-16 19:31:22
QQ好友和群
收藏