搜搜吧

搜搜吧 门户 安全 网络安全 查看内容

Elasticsearch遭勒索软件攻击 被删除数据达450TB

2017-3-17 10:20| 发布者: 俄罗斯方块| 查看: 1246| 评论: 0

摘要: 2017年1月12日,白帽汇监测到针对全球使用广泛的全文索引引擎Elasticsearch的勒索事件,经过多日的跟进分析,直至2017年1月17日,共有3波勒索者,根据白帽汇FOFA系统对删除之前数据与被删除数据进行对比分析,此次攻 ...

2017年1月12日,白帽汇监测到针对全球使用广泛的全文索引引擎Elasticsearch的勒索事件,经过多日的跟进分析,直至2017年1月17日,共有3波勒索者,根据白帽汇FOFA系统对删除之前数据与被删除数据进行对比分析,此次攻击被删除的数据至少500亿条,被删除数据至少450TB。在勒索事件发生后,有1%的Elasticsearch启用了验证插件,另外有2%则关闭了Elasticsearch。

%e6%af%94%e7%89%b9%e5%b8%81-800

(注:以上比特币价格按照事发当日比特币价格换算)

事件回顾

2017年1月12日上午10时,白帽汇发现第一波勒索者,分析统计,发现共有10264台服务器已经遭受攻击,并且还一直持续增长。

攻击者会删除Elasticsearch所有索引信息,并创建一个名为warning的索引,勒索者写入需要支付0.2比特币才给受害者发送数据(目前按照比特币市场价格,约等于150美元),并留下邮箱地址p1l4t0s@sigaint.org。

该邮箱域与Mongodb勒索的作者使用的是同一个域,但id不同。据了解,此前Mongodb勒索攻击者其实并未备份数据,而是直接删除,而目前确认Elasticsearch也是一样,并未对数据进行备份,而是直接删除。

%e4%ba%8b%e4%bb%b6%e5%9b%9e%e9%a1%be1-600

2017年1月14日中午12时,白帽汇发现第二波勒索者,创建一个名为please_read名字的索引。攻击者留下类似的文字,该勒索信息显示需要支付0.5比特币(按照当天比特币市场价格,约等于400美元)。邮箱elasticsearch@mail2tor.com

%e4%ba%8b%e4%bb%b6%e5%9b%9e%e9%a1%be2-600

2017年1月16日中午12时,白帽汇发现第三波勒索者,其创建的索引为pleasereadthis.使用的邮箱地址为4rc0s@sigaint.org

%e4%ba%8b%e4%bb%b6%e5%9b%9e%e9%a1%be3-600

影响范围

截止2017年1月17日,白帽汇通过FOFA系统中的68000余个Elasticsearch进行统计分析,发现目前全球共有9750台存在勒索信息。其中此次被删除的数据达到至少500亿条,被删除数据大小至少450TB。通过两次勒索情况的对比分析,发现有大概1%的Elasticsearch使用了验证插件,另外有2%则关闭Elasticsearch,现在已经无法访问。

%e5%bd%b1%e5%93%8d%e8%8c%83%e5%9b%b4-450

白帽汇FOFA系统中显示,互联网上公开可访问的Elasticsearch超过68000余台。其中,共有受害总数9750台。

目前全球中受影响最多的为美国4380台,其次是中国第二944台。法国787台,爱尔兰462台,新加坡418台。以下是Elasticsearch勒索全球分布范围:

elasticsearch%e5%8f%97%e5%8b%92%e7%b4%a2%e5%bd%b1%e5%93%8d%e5%85%a8%e7%90%83%e5%88%86%e5%b8%83-800

Elasticsearch受勒索影响全球分布

其中,中国受害的有944台。其中,浙江省受影响最严中,有498台,其次是北京,186台,上海52台,湖南43台,上海42台。Elasticsearch中国地区受害影响范围。

%e5%bd%b1%e5%93%8d%e8%8c%83%e5%9b%b42-800

安全建议

Elasticsearch方便,实用的同时,也引入了安全隐患和数据泄露的风险。那么如何加强安全防范呢,这里给大家如下安全建议:

1. 增加验证,官方推荐并且经过认证的是shield插件,该项目为收费项目,可以试用30天。网络中也有免费的插件,可以使用elasticsearch-http-basic,searchguard插件。

Shield 可以通过bin/plugin install [github-name]/[repo-name] 形式安装

2. 使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证。

3. 如果是单台部署的Elasticsearch,9200端口不要对外开放。

4. 使用1.7.1以上的版本。在1.7.1以上版本目前还没有爆出过相关漏洞。

5. 另外elasticsearch的官方也有其他产品与Elasticsearch配合紧密的,这些产品也存在漏洞,企业如果有使用其他相关产品存在漏洞也要进行修复,如Logstash,Kibana。

6. 加强服务器安全,安装防病毒软件,使用防火墙,网站安装WAF.并对数据库,系统,后台,使用的服务设置复杂的密码,建议设置16位的大小写字母+特殊字符+数字组合。

作者:白帽汇

搜搜吧社区温馨提示:
搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
4、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-sosoba@qq.com 一个工作日内核实并邮件通知立即删除

鲜花

握手

雷人

路过

鸡蛋

最新评论

资讯分类

推荐图文

文章排行

Powered by www.sosoba.org X3.4© 2013-2019 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
搜搜吧社区官网创建于2013年07月23日,本站内容均为会员发表,并不代搜搜吧社区立场,请遵守当地相关法律,客服邮箱: kefu-sosoba@qq.com
本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗,百度浏览器,Safari浏览器,ios,Android

GMT+8, 2018-11-13 06:13 , Processed in 1.093750 second(s), 20 queries , Gzip On.

返回顶部