黑客入侵Elasticsearch，破坏了超1.5万台服务器

在过去的两周里，一名黑客入侵了在互联网上公开且没有密码的Elasticsearch服务器，试图擦除其内容。同时还留下一家网络安全公司的名字，试图转移指责。

图源：zDNet

据英国安全研究人员约翰·威辛顿（John Wethington）称，首次入侵始于3月24日左右，目前还在进行中。

这些攻击似乎是在一个自动脚本的帮助下进行的，该脚本扫描互联网上未受保护的ElasticSearch系统，连接到数据库，尝试擦除其内容，然后创建一个新的名为nightlionsecurity.com空索引。

不过，攻击脚本似乎并不适用于所有情况，因为nightlionsecurity.com索引只存在于内容保持完整的数据库中。

目前，在许多Elasticsearch服务器上，擦除行为是显而易见的。但是由于Elasticsearch服务器中存储的数据具有高度不稳定性，因此很难量化删除数据的系统的确切数量。

NIGHT LION SECURITY 否认与此次攻击有关

Vinny Troia（NIGHT LION SECURITY创始人）直接购人了这一指控，表示：“相信这次攻击是由他过去几年一直在追踪的一名黑客实施的”。

根据BinaryEdge搜索，在第一次访问时，大约有150台已损毁的Elasticsearch服务器，现在存在nightlionsecurity.com索引的Elasticsearch服务器数量已增加到15,000多个。

考虑到同一个BinaryEdge列出了直接在公共互联网上公开的34500个Elasticsearch服务器，因此这个数字非常大。

图源：ZDNet

背锅的安全团队负责人表示：已通知相关执法部门进行调查。

据Elastic安全团队透露，该团队现在也正在研究数量不断增长的受攻击服务器。

当前正在编译受此攻击影响的服务器列表，以试图确定可能已中断服务的公司。

此外，在研究此问题时，Wethington还发现了另一位也将Elasticsearch服务器作为目标的黑客。该攻击者闯入不安全的服务器，并留下一条消息告诉受害者他们已被黑客入侵，并敦促他们通过电子邮件与他人联系。当前，只有40台服务器收到此消息，表明攻击规模较小。

图片：ZDNet

Elasticsearch上的数据被抹除也不是第一次了，2017年春夏，多个黑客组织对包括Elasticsearch在内的多种数据库技术进行数据库赎金攻击。

2017年，数千个Elasticsearch服务器的数据被删除，留下了赎金信息，邀请所有者支付赎金请求以恢复数据——受害者不知道数据从未被攻击者窃取或备份，而只是被删除。

当时，全球中受影响最多的为美国4380台，其次是中国第二944台。法国787台，爱尔兰462台，新加坡418台。以下是Elasticsearch勒索全球分布范围：

Elasticsearch受勒索影响全球分布

其中，中国受害的有944台。其中，浙江省受影响最严中，有498台，其次是北京，186台，上海52台，湖南43台，上海42台。Elasticsearch中国地区受害影响范围。

文章翻译整合自：zDNet

猜你喜欢

这是赤裸裸打网络安全从业者的脸！

你点的每个赞，我都认真当成了喜欢