第2部分Elasticsearch Ransomware:开源数据库安全

在这篇文章中,我们将看一个新的Elasticsearch ransomware爆发,你能做什么来防止它发生在你身上。

仅仅几周后的报告MongoDB服务器受到攻击和感染ransomware, Elasticsearch集群经历相同的困难。大卫·墨菲的博客讨论情况和解决方案MongoDB服务器。在这篇文章中,我们看看如何防止ransomware攻击你Elasticsearch集群。

首先,Elasticsearch是什么?Elasticsearch是一个开源的分布式基于Apache Lucene索引。与HTTP API,它提供了一个全文搜索使用无模式的JSON文档。就其本质而言,它也是分布式和冗余。公司使用Elasticsearch通过麋鹿堆栈日志和数据采集软件,协助数据分析和可视化。它也用来支持搜索功能在许多流行的应用程序和web服务。

在这个新的场景,ransomware抹去完成集群的数据,并取而代之的是以下预警指数:

“发送0.2 BTC这个钱包:1 dasgy4kt1a4lctpmh5vm5pqx32ezmot4r如果你想恢复数据库!发送到这个电子邮件服务器IP后发送比特币。”

与MongoDB的情况一样,这不是一个缺陷Elasticsearch软件。这个漏洞源于不正确使用Elasticsearch提供的安全设置。随着PCWorld的这个清单的文章总结:

据专家们说,没有理由公开Elasticsearch集群网络。最近针对这些攻击,搜索技术和分布式系统架构师伊塔玛Syn-Hershko发表了博客确保Elasticsearch部署建议。

他们引用的博客具有良好的建议和如何保护你的例子Elasticsearch设施免受剥削。总结它的建议(从文章本身):

无论你做什么,不要暴露你的集群节点直接网络。

那么如何防止黑客进入Elasticsearch集群?使用建议Syn-Hershko的博客,这里有一些要点为支撑Elasticsearch安全:

• HTTP-enabled节点应该只听私人ip。您可以配置IPs Elasticsearch听:localhost,私人IPs,公共ip或其中的几个选项。网络.bind_host和网络.host控制IP类型(手册)。从来没有Elasticsearch听公共IP或公开DNS名称。
• 使用代理来与客户沟通。你应该通过任何应用程序查询Elasticsearch通过某种软件可以过滤请求,执行审计日志记录和密码保护数据。客户端javascript不应该直接跟弹性,和应该只与服务器端软件。软件能翻译所有客户端请求Elasticsearch DSL,执行查询,然后发送响应客户期望的格式。
• 不要使用默认端口。再次明确:不要使用默认端口。你可以很容易地改变Elasticsearch .YML文件的默认端口通过修改。相关的参数http.port和运输.tcp.port(手册)。
• 如果你不需要它禁用HTTP。只有Elasticsearch应该启用HTTP客户机节点,和私有网络应用程序应该唯一访问它们。你可以完全通过设置禁用HTTP模块http.enabled来假(手册)。
• 安全的公开客户节点。你应该保护你的Elasticsearch客户机和任何UI与科夫)(如Kibana和VPN的后面。如果您选择允许一些节点访问公共网络,使用HTTPS,不传输数据和凭证为纯文本。您可以使用插件弹性的屏障或SearchGuard确保您的集群。
• 禁用脚本(pre - 5. x)。恶意脚本可以通过搜索攻击集群API。早期版本的Elasticscript允许无担保脚本访问软件。如果您使用的是旧版本(pre - 5. - x),升级到新版本或者完全禁用动态脚本。

去Syn-Hershko的博客为更多的细节。

这应该让你开始正确保护自己免受Elasticsearch ransomware(和其他安全威胁)。如果你想要有人评论你的安全,请联系我们。