文档章节

各大安全组织检测到勒索软件正在攻击Hadoop集群

云栖运营小编
 云栖运营小编
发布于 2017/01/25 17:09
字数 1368
阅读 14
收藏 0

近期,各大安全组织检测到勒索软件正在攻击Hadoop集群,再次表明黑客正在尝试从“大数据”中获利,你的数据资产有没有被黑客get了?

 

◇◆◇◆◇

勒索软件攻击Hadoop事件综述

 

最近,部分黑客组织针对几款特定产品展开了勒索攻击。截止到上周,已有至少34000多台MongoDB数据库被黑客组织入侵,数据库中的数据被黑客擦除并索要赎金。随后,在2017年1月18日当天,又有数百台ElasticSearch服务器受到了勒索攻击,服务器中的数据被擦除。安全研究人员Niall Merrigan表示,截止到目前,受攻击的ElasticSearch服务器已经超过了2711台。紧随上述两次攻击事件,目前已经有黑客将目标瞄准了Hadoop集群。这些勒索攻击的攻击模式都较为相似,在整个攻击过程中并没有使用任何勒索软件,也没有涉及常规漏洞,而是利用相关产品的不安全配置,使攻击者有机可乘,轻而易举地对相关数据进行操作。

 

◇◆◇◆◇

勒索攻击模式

 

Hadoop框架的两个核心设计是HDFS(Hadoop Distributed File System)和MapReduce。HDFS是一个分布式文件系统,具有高容错性的特点,并且被设计用来部署在廉价的硬件上;而且它能够以高吞吐量来访问应用程序的数据,尤其适合那些有着超大数据集的应用程序。MapReduce是一个使用简易的软件框架,基于它编写出来的应用程序能够运行在由上千个商用机器组成的大型集群上,并以一种可靠容错的方式并行处理上T级别的数据集。

 

最近出现的针对MongoDB、ElasticSearch和Hadoop的勒索攻击模式都较为相似。在攻击过程中并没有涉及勒索软件和常规漏洞,而是利用相关产品不安全的配置,这为攻击者打开了方便之门。以MongoDB为例,这些受攻击的数据库没有采取任何身份验证,直接暴露在Internet公网上,一旦攻击者登录到这些开放的数据库就可以对其中的数据进行删除等恶意操作了;而针对ElasticSearch服务器的勒索攻击手段也是类似,ElasticSearch的TCP访问模式的默认端口为9300,HTTP访问模式的默认端口为9200,如果这些端口不做任何保护措施地暴露在公网上,那么对它的访问将没有任何身份认证,任何人在建立连接之后,都可以通过相关API对ElasticSearch服务器上的数据进行增删查改等任意操作。

 

而黑客针对Hadoop的勒索攻击,也是利用了暴露在公网上的端口。Hadoop集群的使用者往往出于便利或者本身安全意识不强的缘故,会将Hadoop的部分端口,比如HDFS的Web端口50070直接在公网上开放。攻击者可以简单使用相关命令来操作机器上的数据,比如:

 

使用上图格式中的命令可以递归删除test目录下的所有内容。

 

根据shodan.io的统计结果显示,在中国有8300多个Hadoop集群的50070端口暴露在公网上,如下图所示:

 

640?wx_fmt=png&wxfrom=5&wx_lazy=1

(该图片来自shodan.io)

 

勒索软件屡禁不止  数据泄露愈演愈烈,企业何去何从?

 

接下来我们回到国内,看看阿里云在大数据安全性方面是如何保护企业数据资产的。

 

 

2016年10月,阿里云数加发布大数据产品MaxCompute V2.0,MaxCompute是一个多租户的大数据计算平台,默认情况下,各租户间数据不共享,彼此隔离,但用户可以通过MaxCompute提供的授权机制将数据共享给其他人。https://www.aliyun.com/product/odps

 

2016年10月,阿里云通过公安部组织的云计算等级保护新标准试点示范工作,成为全国首家通过国家级权威测评的云计算服务商。其中公共云平台、电子政务云平台、大数据平台、云运营系统、云运维等五大系统通过等级保护三级备案、测评,金融云平台通过等级保护四级的备案、测评。 https://yq.aliyun.com/articles/61628

 

在2016年6月29日成都云栖大会上,阿里云资深总监肖力介绍,阿里云通过了由全球顶级审计师事务所安永执行的第三方数据安全审计,结合阿里云在会议上发布的《阿里云数据安全白皮书》,https://help.aliyun.com/knowledge_detail/42566.html ;至此,阿里云数据安全管控体系算是正式出现在公众视野。

阅读全文直接点击:http://click.aliyun.com/m/9804/

© 著作权归作者所有

云栖运营小编
粉丝 7
博文 98
码字总数 52676
作品 0
朝阳
运营/编辑
私信 提问
网络罪犯势力逐渐壮大,网络安全正面临临界点

网络犯罪是门大生意,正在以指数速度蔓延。英国伦敦劳埃德保险社估计2015年的网络犯罪的市场为4000亿美元。仅仅两年后的今天,世界经济论坛预计目前网络犯罪市场达3万亿美元。网络安全风险投...

玄学酱
2018/04/13
0
0
WannaCry周年纪——新一代网络攻击的曙光

        一年前的今天,经过数天的数字轰击后,网络安全的世界永远改变了。   仅仅一个周末,臭名昭着的勒索软件攻击WannaCry就感染了超过200,000台机器,造成数十亿美元的损失。勒索...

嘶吼RoarTalk
2018/05/24
0
0
Verizon《2018年数据泄露调查报告》:勒索软件已成为最流行的恶意软件类型

        安全研究人员警告称,勒索软件已经成为最流行的恶意软件,这主要是因为攻击者通过锁定有价值的关键业务系统来索要赎金可以迅速牟利。   Verizon在本周二发布的《2018年数据泄...

嘶吼RoarTalk
2018/04/16
0
0
5个关于安全方面的顶级机器学习用例!

  【IT168 资讯】机器学习将使你的组织面临的安全威胁变得有意义,并帮助你的员工专注于更有价值的战略性任务。   在最简单的层面上,机器学习被定义为“在没有明确编程的情况下学习计算...

it168网站
2017/12/19
0
0
赛门铁克《互联网安全威胁报告》都说点啥?

  【IT168 评论】对于网络安全,不知各位都持有一个怎样的态度。近年来网络安全攻击事件接二连三的出现,给不少企业和个人都或多或少带来了一些阴影,尤其是以wannycry为首的勒索软件攻击类...

it168网站
2018/04/20
0
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周日乱弹 —— 我,小小编辑,食人族酋长

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @宇辰OSC :分享娃娃的单曲《飘洋过海来看你》: #今日歌曲推荐# 《飘洋过海来看你》- 娃娃 手机党少年们想听歌,请使劲儿戳(这里) @宇辰OSC...

小小编辑
57分钟前
121
7
spring cloud

一、从面试题入手 1.1、什么事微服务 1.2、微服务之间如何独立通讯的 1.3、springCloud和Dubbo有哪些区别 1.通信机制:DUbbo基于RPC远程过程调用;微服务cloud基于http restFUL API 1.4、spr...

榴莲黑芝麻糊
今天
2
0
Executor线程池原理与源码解读

线程池为线程生命周期的开销和资源不足问题提供了解决方 案。通过对多个任务重用线程,线程创建的开销被分摊到了多个任务上。 线程实现方式 Thread、Runnable、Callable //实现Runnable接口的...

小强的进阶之路
昨天
6
0
maven 环境隔离

解决问题 即 在 resource 文件夹下面 ,新增对应的资源配置文件夹,对应 开发,测试,生产的不同的配置内容 <resources> <resource> <directory>src/main/resources.${deplo......

之渊
昨天
8
0
详解箭头函数和普通函数的区别以及箭头函数的注意事项、不适用场景

箭头函数是ES6的API,相信很多人都知道,因为其语法上相对于普通函数更简洁,深受大家的喜爱。就是这种我们日常开发中一直在使用的API,大部分同学却对它的了解程度还是不够深... 普通函数和...

OBKoro1
昨天
7
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部