ElasticSearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。
鉴于使用习惯,以及默认配置原因,Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进行未授权访问数据。
而3月末以来,有黑客入侵了没有设置密码保护并开放在公网的Elasticsearch服务器,在进入数据库后,黑客将数据库全部删除,并留一下网络安全公司的名称,试图甩锅。
首次入侵始于3月24日左右。该自动化脚本自动扫描Internet上没有密码保护的ElasticSearch系统,连接到数据库后,脚本会尝试删库,然后创建一个新的空索引,名称为nightlionsecurity.com。
而部分服务器上虽然建立了nightlionsecurity.com索引,但是内容并没有被删除。
昨天还是2千,今天在shodan搜索数量涨到了1万,可以看出明显是自动化进行。
Night Lion Security的创始人Vinny Troia否认其公司与持续的攻击有任何关系。
Troia在3月26日给DataBreaches.net的一次采访中说,他相信攻击是由过去几年一直被他们公司跟踪的黑客所进行的报复攻击,也许是著名黑客组织TheDarkOverlord(黑暗霸主),该组织此前多次入侵美国政府网站并获取机密资料进行勒索和售卖(包括911机密文件),有一名英国成员还被引渡到了美国。
而Troia此前书本中就有提及该组织的活动。
如上图所示,3月25日的时候只有157台。
在BinaryEdge搜索已经有3万4千台Elasticsearch服务器被该脚本感染。
其中可以看到中国的服务器还是很多的,建议自查。
参考链接:
https://www.databreaches.net/someones-wiping-out-elastic-searches-and-leaving-a-security-firms-name/
信息来自互联网侵删
上期阅读
因为威胁信息管理法正式实施,因此我将知识星球预览关了,有需要的赶紧扫码进入,公开与私密情报均列位其中,信息严禁传播,避免二次伤害。
点个赞,转个发,祖国建设靠大家
