如果此次針對(duì)Elasticsearch服務(wù)器實(shí)例的攻擊模式與此前針對(duì)MongoDB的勒索攻擊相似的話，那么受影響的Elasticsearch實(shí)例數(shù)量肯定還會(huì)迅速正佳。Shodan搜索引擎的創(chuàng)始人John Matherly表示，目前整個(gè)互聯(lián)網(wǎng)中大約有三萬(wàn)五千多臺(tái)Elasticsearch服務(wù)器存在安全缺陷，其中絕大多數(shù)的Elasticsearch服務(wù)器托管于亞馬遜的Web服務(wù)器基礎(chǔ)設(shè)施之中。根據(jù)Matherly的估計(jì)，目前互聯(lián)網(wǎng)中大約有九萬(wàn)九千多臺(tái)MongoDB數(shù)據(jù)庫(kù)存在安全問(wèn)題，截止至上周的星期四，總共有三萬(wàn)四千多臺(tái)MongoDB服務(wù)器的數(shù)據(jù)被攻擊者非法清除了(受影響數(shù)據(jù)多達(dá)數(shù)百TB)。

在今年的一月三日，僅有兩千多個(gè)MongoDB數(shù)據(jù)庫(kù)遭到了勒索攻擊。需要注意的是，攻擊者并非是將目標(biāo)服務(wù)器中的數(shù)據(jù)直接清除了，而是在清除之前導(dǎo)出了這些數(shù)據(jù)，并聲稱(chēng)會(huì)在服務(wù)器管理員支付了贖金之后返還這些數(shù)據(jù)。這也就意味著，在這種勒索攻擊的過(guò)程中還伴隨著敏感數(shù)據(jù)的泄漏。

如果你的Elastic實(shí)例遭到了勒索攻擊的話，你將會(huì)看到如下圖所示的勒索信息，攻擊者會(huì)要求你支付0.2個(gè)比特幣(價(jià)值約為160美金)。

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org

SEND 0.1 BTC TO THIS WALLET: 1Eqrzhx6yQafKm6WwKMhNAsGMxZXP7uitr IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS 4rc0s@sigaint.org HOW TO BUY BITCOIN: https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

??

目前我們可以看到已有受害者支付了比特幣

??

我們應(yīng)該如何保護(hù)自己的服務(wù)器?

在此之前，Elasticsearch的安全顧問(wèn)Itamar Syn-Hershko曾專(zhuān)門(mén)寫(xiě)過(guò)一篇技術(shù)文章，并在文章中詳細(xì)介紹了開(kāi)發(fā)者們應(yīng)該如何配置Elastic服務(wù)器集群來(lái)避免實(shí)例遭到勒索攻擊。Syn-Hershko表示：“無(wú)論你對(duì)實(shí)例做怎樣的配置，安全的前提就是永遠(yuǎn)不要讓你的集群節(jié)點(diǎn)暴露在網(wǎng)絡(luò)中，雖然這是大家都知道的東西，但很明顯并不是所有人都會(huì)按要求做。因此我要再次重申，永遠(yuǎn)永遠(yuǎn)不要把你的服務(wù)器集群節(jié)點(diǎn)暴露在公共網(wǎng)絡(luò)中!”除此之外，Elastic的網(wǎng)絡(luò)工程師Mike Paquette在幾個(gè)小時(shí)之前也專(zhuān)門(mén)發(fā)布了一篇技術(shù)文章，并在文章中詳細(xì)描述了我們?nèi)绾尾拍茏孍lasticsearch服務(wù)器免受勒索攻擊的侵害。

雖然托管在亞馬遜AWS上的Elastic版本其默認(rèn)配置是非常安全的，但是Elasticsearch數(shù)據(jù)庫(kù)本身并不會(huì)執(zhí)行任何形式的身份驗(yàn)證，因此管理員必須對(duì)服務(wù)器進(jìn)行手動(dòng)配置，以保證服務(wù)器在遇到不受信任的用戶(hù)訪問(wèn)時(shí)能夠進(jìn)行有效的身份驗(yàn)證保護(hù)。

根據(jù)該公司在2013年給用戶(hù)提供的安全實(shí)施建議：“Elasticsearch并沒(méi)有單獨(dú)用戶(hù)的概念。基本上，任何人都可以通過(guò)超級(jí)用戶(hù)權(quán)限來(lái)向你的Elasticsearch集群發(fā)送任意請(qǐng)求。因此，我們強(qiáng)烈建議各位網(wǎng)站管理員不要直接將不安全的Elasticsearch實(shí)例直接暴露在公共網(wǎng)絡(luò)之中?！?/p>

安全建議

如果你是自己運(yùn)行并管理Elasticsearch集群的話，公司建議你按照下列方法來(lái)保護(hù)自己的安全：

1. 將服務(wù)器中的所有數(shù)據(jù)定期備份至一個(gè)安全的地方，并定期創(chuàng)建快照。

2. 對(duì)運(yùn)行Elasticsearch實(shí)例的服務(wù)器環(huán)境進(jìn)行重新配置，不要將服務(wù)器集群直接暴露在公共網(wǎng)絡(luò)之中。

3. 如果你必須要通過(guò)外網(wǎng)訪問(wèn)Elasticsearch集群，那么一定要在服務(wù)器中部署防火墻、VPN、逆向代理以及其他的一些安全保護(hù)技術(shù)來(lái)限制非法訪問(wèn)。