宅客频道按:关于Elasticsearch 勒索事件,雷锋网此前已经进行过报道。1月18日,雷锋网收到白帽汇公司关于该事件的最新研究结果。本文转自微信公众号“北京白帽汇科技有限公司”,作者为“安全实验室”,原文标题为《威胁情报预警:Elasticsearch勒索事件》。
正文
2017年1月12日,白帽汇监测到针对全球使用广泛的全文索引引擎 Elasticsearch 的勒索方式,白帽汇立即对其进行跟进分析,直至2017年1月17日,共有3波勒索者,根据白帽汇FOFA 系统对删除之前数据与被删除数据进行对比分析,此次攻击被删除的数据至少500亿条。被删除数据大小至少450TB。 后续白帽汇会发布 Elasticsearchg 更加详细的全球分析报告。
(注:以上比特币价格按照事发当日比特币价格换算) 事件回顾
2017年1月12日上午10时 发现针对 Elasticsearch 的勒索攻击行为,第一时间进行分析统计,发现共有10264台服务器已经遭受攻击,并且还一直持续增长。 截止2017年1月17日,白帽汇通过 FOFA 系统中的 68000 余个 Elasticsearch 进行统计分析,发现目前全球共有9750台存在勒索信息。其中此次被删除的数据达到至少 500 亿条,被删除数据大小至少 450TB 。 通过两次勒索情况的对比分析,发现有大概1%的 Elasticsearch 使用了验证插件,另外有2%则关闭 Elasticsearch ,现在已经无法访问。 2017年1月14日中午12时 白帽汇发现新的一波勒索者,创建一个名为 please_read 名字的索引。攻击者留下类似的文字,该勒索信息显示需要支付 0.5BTC(按照当天比特币市场价格,约等于400美元)。邮箱 [email protected] 2017年1月16日中午12时 白帽汇发现第三波勒索者,其创建的索引为 pleasereadthis .使用的邮箱地址为[email protected]. 被勒索的索引饼图如下: 影响范围截止2017年1月17日,白帽汇通过 FOFA 系统中的 65000 余个 Elasticsearch 进行统计分析,发现目前全球共有 9750 台存在勒索信息。 其中此次被删除的数据达到超过500亿条,被删除数据大小攻击450TB。通过两次勒索情况的对比分析,发现有大概1%的 Elasticsearch 使用了验证插件,另外有2%则关闭Elasticsearch,现在已经无法访问。
白帽汇 Fofa 系统中显示,互联网上公开可访问的 Elasticsearch 超过65000余台。其中,共有受害总数9750台。 目前全球中受影响最多的为美国 4380 台,其次是中国第二 944 台。法国 787 台,爱尔兰462 台,新加坡 418 台。以下是 Elasticsearch 勒索全球分布范围: 【Elasticsearch受勒索影响全球分布】
其中,中国受害的有 944 台。其中,浙江省受影响最严中,有 498 台,其次是北京,186台,上海 52 台,湖南 43 台,上海 42 台。Elasticsearch 中国地区受害影响范围。 【Elasticsearch受勒索影响中国地区分布】 安全建议Elasticsearch 方便,实用的同时,也引入了安全隐患和数据泄露的风险。 那么如何加强安全防范呢,这里给大家如下安全建议: 1、增加验证,官方推荐并且经过认证的是 shield 插件,该项目为收费项目,可以试用 30天。网络中也有免费的插件,可以使用 elasticsearch-http-basic,searchguard 插件。 Shield 可以通过 bin/plugin install [github-name]/[repo-name]形式安装。 2、使用 Nginx 搭建反向代理,通过配置 Nginx 实现对 Elasticsearch 的认证。 3、如果是单台部署 Elasticsearch,9200 端口不要对外开放。 4、使用1.7.1以上的版本。在1.7.1以上版本目前还没有爆出过相关漏洞。 5、另外 elasticsearch 的官方也有其他产品与 Elasticsearch配合紧密的,这些产品也存在漏洞,企业如果有使用其他相关产品存在漏洞也要进行修复,如Logstash,Kibana。 6、加强服务器安全,安装防病毒软件,使用防火墙,网站安装WAF.并对数据库,系统,后台,使用的服务设置复杂的密码,建议设置16位的大小写字母 特殊字符 数字组合。
白帽汇会持续关注事件动态发展,宅客频道也将第一时间为您带来报道。
--- “喜欢就赶紧关注我们” 宅客『Letshome』 雷锋网旗下业界报道公众号。 专注先锋科技领域,讲述黑客背后的故事。 长按下图二维码并识别关注 本文转载于微信公众号: 宅客频道(letshome),更多微信文章请扫描关注公众号: |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
