不安全的 Elasticsearch 和 MongoDB 数据库已成为清除所有数据的黑客攻击的目标。 没有赎金要求。
这些被称为喵攻击,因为它们在服务器日志文件上留下了一个明显的喵签名。
关闭被喵攻击的服务器的日志文件的屏幕截图
安全研究员 Bob Diachenko (@MayhemDayOne) 链接 发推文 通过 Anthr@X (@炭疽0) 据说代表了一个日志文件的屏幕截图,显示了喵喵攻击的详细信息。
喵黑客攻击
这些攻击针对的是 Elasticsearch 和 MongoDB 的不安全安装。
这可能意味着安装不受防火墙保护并暴露给公众。
这也可能是没有 SSL 加密通信的安装。
安全研究人员 Bob Chiachenko 于 2020 年 7 月 20 日注意到了 Elasticsearch 黑客攻击。他指出没有赎金请求或警告。
这是一种专为删除所有数据而设计的攻击。
新的 Elasticsearch 机器人攻击不包含任何赎金或威胁,只是用一组随机数字“喵”。 它非常快,并且非常有效地搜索和销毁新集群 pic.twitter.com/F8Ke3CI64i
——鲍勃·迪亚琴科(@MayhemDayOne) 2020 年 7 月 20 日
最新的高级攻击受害者是非洲在线支付服务。
津巴布韦领先的在线支付平台 Meow 攻击的另一个受害者。 pic.twitter.com/JOQ9kDIJW5
——鲍勃·迪亚琴科(@MayhemDayOne) 2020 年 7 月 27 日
自动黑客攻击
一般来说,黑客攻击是自动化的。 机器人脚本通过探测已知漏洞(例如不安全的端口和易受攻击的文件)来攻击站点。 这个过程类似于一个小偷走在街上检查门把手是否没有上锁。
喵喵攻击也是一种自动攻击。
什么被攻击
目前,受到攻击的是不安全的 Elasticsearch 和 MongoDB 数据库。
Elasticsearch 受到的攻击最多,其次是 MongoDB。
截至 2020 年 7 月 24 日,共有 1,779 次 Elasticsearch 和 701 次 MongoDB 攻击。
有 1,779 个“喵喵叫”Elasticsearch 集群和 701 个 MongoDB 实例
——鲍勃·迪亚琴科(@MayhemDayOne) 2020 年 7 月 24 日
Elasticsearch 是一种开源搜索和分析服务, 由 Uber、Shopify 和 Udemy 等公司使用.
MongoDB 在他们的网站上声明它是 被 eBay、Adobe、SquareSpace、Verizon 和英国政府等公司使用.
据称被 VPN 隐藏的攻击
Twitter 上有人发布了 Mongo 数据库攻击的日志文件截图,显示对该服务器的攻击是通过 VPN IP 地址进行的,以隐藏攻击的真实来源。
这 #喵 攻击正在进行 @质子vpn,不知道有多少原始IP。 从 MongoDB 的日志中,您可以看到它首先删除数据库,然后使用 $randomstring-meow 创建新数据库 @MayhemDayOne @BleepinComputer #信息安全 pic.twitter.com/49dnVOGyq7
— Anthr@X (@anthrax0) 2020 年 7 月 24 日
ProtonVPN 是一个虚拟专用网络 (VPN)。 VPN 是一种出于安全目的掩盖用户真实 IP 地址的服务。 在一些国家,他们被用来掩盖他们的互联网活动,不让政府窥探。
ProtonVPN 通过 Twitter 做出回应,承诺审查活动并阻止违反其条款和条件的恶意用户。
我们正在对此进行调查,并将阻止所有违反我们条款和条件的 ProtonVPN 使用。
—质子VPN(@ProtonVPN) 2020 年 7 月 27 日
行动建议
Elasticsearch 有一些安全插件:
@martinibuster 再次重申一下——Open Distro for Elasticsearch 提供了一个完整的安全套件,它是 Apache 许可的并且可以免费使用——请使用它来保护你的 Elasticsearch 人员:
– 卡尔梅多斯(@Carl_F_Meadows) 2020 年 7 月 27 日
对于运行 Elasticsearch 或 MongoDB 的发布者来说,谨慎的做法可能是考虑审查他们的安装,以确保它们是安全的并且没有暴露在公共互联网上。
