在过去的两周里,一名黑客闯入大量Elasticsearch服务器(这些服务器在没有密码保护的情况下一直在公网处于开放状态),试图删除其中的数据,同时还留下了一家网络安全公司的名字,试图转移人们的注意力。
据英国安全研究员John Wethington称,第一次入侵是在3月24日左右开始的。Wethington也是观测这次行动并向ZDNet报告的研究人员之一。
这些攻击似乎是依靠一个自动脚本进行的,它扫描互联网,寻找未受保护的ElasticSearch系统,连接到数据库,试图清除其中的数据,然后创建一个新的空索引,命名为nightlionsecurity.com
。
不过,攻击脚本也并不是在所有情况下都能生效,因为在某些完整的数据库中,也存在nightlionsecurity.com
索引。
当然,在众多Elasticsearch服务器上,删除数据的痕迹还是很明显,因为日志条目在最近的日期(如3月24日、25日、26日等)被切断。由于Elasticsearch服务器中存储的数据具有高度不稳定性,因此很难确定被删除数据的确切数量。
NIGHT LION公司否认与此事有关
在近日与记者的一次谈话中,夜狮安全公司的创始人Vinny Troia否认他的公司与正在进行的网络攻击有任何关系。
在3月26日接受DataBreaches.net的采访时,Troia表示,他相信这次攻击是由他过去几年一直追踪的一名黑客所实施的,这也是他即将出版的书的主题。
虽然近期发生的袭击看起来像是恶作剧,但其实并不好笑了。根据BinaryEdge的搜索结果,目前含有nightlionsecurity.com
索引的Elasticsearch服务器已经超过了15000个。
考虑到BinaryEdge显示有34500个直接暴露在公共互联网上的Elasticsearch服务器,这个数字是相当大的。
Troia说,他已把袭击事件通知了执法部门。
ZDNet还与Elastic security团队取得了联系,该团队也在调查此次安全事件。
Wethington目前正在整理一份受此次攻击影响的服务器名单,试图找出那些可能受到影响的公司。
而且在调查此次事件时,Wethington还发现了另一个攻击Elasticsearch服务器的黑客。这名攻击者也在入侵不安全的服务器,并留下信息告诉受害者他们被黑了,让他们通过电子邮件进行联系。目前只有40个服务器存在这个勒索消息,攻击的规模暂时很小。
不过,这种类型的破坏性攻击已不是第一次。在2017年春夏,多个黑客组织对包括Elasticsearch在内的多种数据库进行了勒索攻击。
在2017年,有数千个Elasticsearch服务器的数据被删除,并留下了勒索信息。受害者并不知道这些数据是被攻击者备份了,还是只被删除了。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/a-hacker-has-wiped-defaced-more-than-15000-elasticsearch-servers/