又有15000多台Elasticsearch服务器遭到了攻击
根据安全人员的最新发现,在过去的两个礼拜时间里,有一名黑客渗透进了大量暴露在外网中并且没有任何密码保护的Elasticsearch服务器,并尝试删除其中存储的数据。在这名网络犯罪分子实施攻击的过程中,同时还留下了一家网络安全公司的名字,以试图让别人来为他背锅。
根据英国安全研究专家约翰·威廷顿(John Wethington)透露的消息,在此次攻击活动中,第一波入侵攻击是在2020年03月24日左右开始的,而约翰·威廷顿则是第一批发现这一攻击活动并协助ZDNet完成安全报道的其中一名安全研究人员。
研究人员表示,在此次攻击活动中,攻击者似乎是在一系列自动化脚本的帮助下完成的攻击,这些脚本能够扫描互联网中暴露在外网且未受任何密码保护的ElasticSearch系统。自动化脚本扫描到这些未受保护的系统之后,便会尝试连接至其后端数据库,并尝试删除其中存储的数据,最后创建一个名为“nightlionsecurity.com”的新的空白索引。
不过,这一系列攻击脚本似乎并不能适用于所有的攻击场景,因为如果数据库中本身就有数据项或索引为“nightlionsecurity.com”的话,那么这条数据或索引就不会发生任何变化了。
然而,在很多Elasticsearch服务器上,数据删除行为是非常容易被发现的,而且也很显而易见,因为日志条目直接在事件的发生日期就被“切断”了,即3月24日、25日、26日等。由于Elasticsearch服务器中存储的数据具有高度不稳定性,因此很难量化删除数据的系统的确切数量。
Night Lion Security公司否认与此事件有关联
就在此次事件被曝光的第二天,我们还尝试与Night Lion Security网络安全公司的创始人维尼·特洛亚(Vinny Troia)取得过一次联系,而维尼·特洛亚本人也表示,否认他的公司与此次正在进行中的网络攻击事件有牵连。
在03月26日接受DataBreaches.net的采访时,维尼·特洛亚表示,他相信此次攻击事件是由一名他在过去几年里一直在追踪的黑客所实施的,而这名攻击者也是他们之后打算要曝光的一个网络犯罪分子。
其实一开始,03月26日的攻击活动貌似看起来像一次恶作剧,但之后的一系列攻击行为已经证实了这就是一次网络犯罪活动。根据BinaryEdge的一项调查,在我们第一次与Night Lion Security网络安全公司的创始人维尼·特洛亚(Vinny Troia)取得联系的时候,只有大约150台Elasticsearch服务器遭到了入侵,但是到现在为止,包含“nightlionsecurity.com”索引的Elasticsearch服务器数量已经上升到了15000余台。
被入侵的Elasticsearch服务器数量已经非常多了,考虑到目前的安全情况不容乐观,BinaryEdge也选择将那些暴露在公开外网的34500多个不安全的Elasticsearch服务器直接曝光。
维尼·特洛亚表示,他目前也已经给将此次攻击活动的详细信息上报给了相关执法部门。
为此,ZDNet还专门与Elastic安全团队取得了联系,而该团队目前也正在对逐渐增长的受入侵Elasticsearch服务器进行分析和调查。
约翰·威廷顿目前也在着手编制在此次攻击活动中受影响的服务器地址列表,并试图从中找出可能已经中断服务的相关公司。
除此之外,在调查此次攻击事件的同时,约翰·威廷顿还发现了另一名图谋不轨的攻击者,而这名攻击者也将Elasticsearch服务器当作了他的攻击目标。当时,这名攻击者正在入侵大量不安全的Elasticsearch服务器,并在入侵成功之后留下消息告知目标用户他们已经被黑客攻击了,然后敦促他们通过电子邮件来与攻击者联系。目前,只有40多台服务器发现了攻击者留下的消息,这表明目前这一个攻击活动的规模还不算很大。
后话
然而,这种针对Elasticsearch服务器或数据的破坏性攻击已经不是第一次发生了。早在2017年第一季度,就曾有多个网络犯罪组织针对包括Elasticsearch在内的多种数据库服务器进行过数据勒索攻击。
仅2017年,就曾有数千台Elasticsearch服务器的数据被非法删除,而攻击者会留下了赎金信息,要求目标用户或数据的所有者支付赎金请求以恢复数据。但悲催的是,这些受害者并不知道攻击者从未对被非法删除的数据进行过备份,因为这些被盗数据是直接被攻击者删除的。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Chrome OS 的 Linux 终端迎来一系列新功能,运行更轻松
据外媒AndroidPolice报道,目前还在开发者频道的 Chrome OS 83 获得了更新的 Linux 终端,带来了一系列新功能,包括新的主题和自定义选项等。 Chrome OS 终端应用程序可供选择使用 Linux 功能的 Chromebook 用户使用。该功能提供了完整的 Linux 开发环境,他们可以在其中轻松安装流行的开源软件,例如 GIMP、LibreOffice、Firefox 等等。 AndroidPolice表示,自从最初发布 Linux 容器以来,Chrome OS 上的终端应用程序几乎没有变化,它只是一个带有文本的单一窗口。在新版本 Chrome OS 83 中,Linux 终端带来一系列改变,提供了新的选项卡、预设主题、可自定义的文本颜色和字体,以及光标选项。 主题设置入口也有所改进。在此之前,可以通过快捷键 Ctrl+Shift+P 来进行设置,而现在选项卡栏中包含一个菜单按钮,可直接将用户带到主题选择器。 此外,新版本中的一大亮点是新的标签页布局,内置的终端程序提供了对多个标签的支持。 毫无疑问,对于在 Chrome OS 上使用 Linux 功能的人...
- 下一篇
美国2020~2022年反情报战略
2020年2月10日美国国家反间谍与安全中心发布了新战略,阐述了美国所面对的日益严峻的情报威胁以及美国需如何应对这些威胁,其内容如下: 国外情报威胁形势 外国情报机构对美国构成的威胁变得更加复杂,多样,并损害了美国利益。外国情报参与者(包括国家,组织和个人)正在采用传统间谍,经济间谍活动以及供应链和网络攻击的创新组合来获得关键基础设施的访问权,窃取敏感信息,包括各种研究,技术和工业机密。他们利用网络攻击,媒体操纵,秘密行动以及政治颠覆来分裂美国社会,破坏美国对民主制度的信心,削弱了美国的联盟。外国情报参与者已变得更加危险,因为他们可以利用先进技术来以较低风险威胁更广泛的目标。总体而言有三个主要趋势。 (1) 针对美国的情报人员数量正在增加。俄罗斯和中国在全球开展业务,利用所有国家力量工具瞄准美国,并具有先进情报能力。其他的对手还有,古巴,伊朗和朝鲜国家级威胁,黎巴嫩**党,***国和****等非国家情报人员;跨国犯罪组织和具有意识形态动机的团体,例如黑客主团体,泄密主义者和公开披露组织,也构成了重大威胁。此外,没有正式身份的外国公民与外国情报机构联合窃取敏感数据和知识产权。 (2) 情...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,CentOS7官方镜像安装Oracle11G
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Red5直播服务器,属于Java语言的直播服务器
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7