Elasticsearch是一個開源的高擴展的分佈式全文檢索引擎,它可以近乎實時的存儲、檢索數據;本身擴展性很好,可以擴展到上百臺服務器,處理PB級別的數據。Elasticsearch也使用Java開發並使用Lucene作爲其核心來實現所有索引和搜索的功能,但是它的目的是通過簡單的RESTful API來隱藏Lucene的複雜性,從而讓全文搜索變得簡單。
當ElasticSearch的節點啓動後,它會利用多播(multicast)(或者單播,如果用戶更改了配置)尋找集羣中的其它節點,並與之建立連接。這個過程如下圖所示:
近來, 有一名黑客滲透進了大量暴露在互聯網中並且沒有任何密碼保護的Elasticsearch服務器,並嘗試刪除其中存儲的數據。在這名網絡犯罪分子實施攻擊的過程中,同時還留下了一家美國網絡安全公司--夜獅安全nightlionsecurity.com的網址,試圖嫁禍於夜獅安全公司。
在此次攻擊活動中,攻擊者很可能是在一系列自動化腳本的幫助下完成的攻擊,這些腳本能夠掃描互聯網中暴露在外網且未受任何密碼保護的ElasticSearch系統。自動化腳本掃描到這些未受保護的系統之後,便會嘗試連接至其後端數據庫,並嘗試刪除其中存儲的數據,最後創建一個名爲網址“nightlionsecurity.com”的新的空白索引。
ElasticSearch 是一款Java編寫的企業級搜索服務,啓動此服務默認會開放HTTP-9200端口,可被非法操作數據。
使用fofa搜索開放了9200端口的IP,獲得1579023條數據。
任意訪問一個IP,發現存在Elasticsearch未授權訪問漏洞:
elasticsearch在安裝了river之後可以同步多種數據庫數據(包括關係型的mysql、mongodb等)。http://localhost:9200/_cat/indices裏面的indices包含了_river一般就是安裝了river了。
http://localhost:9200/_rvier/_search就可以查看敏感信息了
http://localhost:9200/_plugin/head/ web管理界面
http://localhost:9200/_cat/indices
http://localhost:9200/_river/_search 查看數據庫敏感信息
http://localhost:9200/_nodes 查看節點數據
還可以搭建ElasticHD,,在瀏覽器中遠程連接就可以看到ES節點服務器可視化數據的全貌了
Linux搭建ElasticHD:
1,下載
wget https://github.com/360EntSecGroup-Skylar/ElasticHD/releases/download/1.4/elasticHD_linux_amd64.zip
2, 解壓
unzip elasticHD_linux_amd64.zip
3,給權限
chmod 777 ElasticHD
4,執行
exec ./ElasticHD -p 127.0.0.1:9800
5,在瀏覽器中訪問127.0.0.1:9800,看到泄漏了21條消息,點擊Query還可以查看詳細消息。
