在过去的两周里，一名黑客闯入大量Elasticsearch服务器（这些服务器在没有密码保护的情况下一直在公网处于开放状态），试图删除其中的数据，同时还留下了一家网络安全公司的名字，试图转移人们的注意力。

据英国安全研究员John Wethington称，第一次入侵是在3月24日左右开始的。Wethington也是观测这次行动并向ZDNet报告的研究人员之一。

这些攻击似乎是依靠一个自动脚本进行的，它扫描互联网，寻找未受保护的ElasticSearch系统，连接到数据库，试图清除其中的数据，然后创建一个新的空索引，命名为nightlionsecurity.com。

不过，攻击脚本也并不是在所有情况下都能生效，因为在某些完整的数据库中，也存在nightlionsecurity.com索引。

当然，在众多Elasticsearch服务器上，删除数据的痕迹还是很明显，因为日志条目在最近的日期（如3月24日、25日、26日等）被切断。由于Elasticsearch服务器中存储的数据具有高度不稳定性，因此很难确定被删除数据的确切数量。

NIGHT LION公司否认与此事有关

在近日与记者的一次谈话中，夜狮安全公司的创始人Vinny Troia否认他的公司与正在进行的网络攻击有任何关系。

在3月26日接受DataBreaches.net的采访时，Troia表示，他相信这次攻击是由他过去几年一直追踪的一名黑客所实施的，这也是他即将出版的书的主题。

虽然近期发生的袭击看起来像是恶作剧，但其实并不好笑了。根据BinaryEdge的搜索结果，目前含有nightlionsecurity.com索引的Elasticsearch服务器已经超过了15000个。

考虑到BinaryEdge显示有34500个直接暴露在公共互联网上的Elasticsearch服务器，

这个数字是相当大的。

Troia说，他已把袭击事件通知了执法部门。

ZDNet还与Elastic security团队取得了联系，该团队也在调查此次安全事件。

Wethington目前正在整理一份受此次攻击影响的服务器名单，试图找出那些可能受到影响的公司。

而且在调查此次事件时，Wethington还发现了另一个攻击Elasticsearch服务器的黑客。这名攻击者也在入侵不安全的服务器，并留下信息告诉受害者他们被黑了，让他们通过电子邮件进行联系。目前只有40个服务器存在这个勒索消息，攻击的规模暂时很小。

不过，这种类型的破坏性攻击已不是第一次。在2017年春夏，多个黑客组织对包括Elasticsearch在内的多种数据库进行了勒索攻击。

在2017年，有数千个Elasticsearch服务器的数据被删除，并留下了勒索信息。受害者并不知道这些数据是被攻击者备份了，还是只被删除了。

安全无小事

大咖分享会 

2020年4月22日下午3点

随着Elastic Stack 7.6的发布，我们看到了一个新的检测引擎添加到 Elastic SIEM中。检测引擎根据内置或用户创建的规则创建“信号”，通过自动化提高威胁检测效率和效能。用户可以创建自己的自定义规则，以自动检测其环境中的潜在恶意活动。

除了检测引擎，SIEM 应用程序还集成了Elastic的异常检测引擎，该引擎使用机器学习技术来发现 Elasticsearch 索引中的异常。

在本次网络研讨会中，我们将介绍如何将两种检测技术结合起来，以支持您的安全操作工作流和检测策略。

亮点：

了解检测引擎及其预置规则

学习如何轻松创建自己的新规则

了解如何在 Elastic Stack 中创建异常检测作业，并将它们与检测引擎相结合

李捷，Elastic资深解决方案架构师，

专注于Elastic Stack 的解决方案的设计和咨询。13年软件行业从业经验，从嵌入式开发，到后端J2EE应用和前端界面开发。从爬虫脚本，到区块链和大数据分析。从开发工程师，到测试工程师和项目经理。拥有全栈开发经验和丰富的项目实施经验，同时也是一个活跃的知识分享者和社区活动者。

识别上图二维码或点击阅读原文抢前排位置