根據安全人員的最新發現，在過去的兩個禮拜時間里，有一名黑客滲透進了大量暴露在外網中并且沒有任何密碼保護的Elasticsearch服務器，并嘗試刪除其中存儲的數據。在這名網絡犯罪分子實施攻擊的過程中，同時還留下了一家網絡安全公司的名字，以試圖讓別人來為他背鍋。

根據英國安全研究專家約翰·威廷頓(John Wethington)透露的消息，在此次攻擊活動中，第一波入侵攻擊是在2020年03月24日左右開始的，而約翰·威廷頓則是第一批發現這一攻擊活動并協助ZDNet完成安全報道的其中一名安全研究人員。

[[321107]]

研究人員表示，在此次攻擊活動中，攻擊者似乎是在一系列自動化腳本的幫助下完成的攻擊，這些腳本能夠掃描互聯網中暴露在外網且未受任何密碼保護的ElasticSearch系統。自動化腳本掃描到這些未受保護的系統之后，便會嘗試連接至其后端數據庫，并嘗試刪除其中存儲的數據，最后創建一個名為“nightlionsecurity.com”的新的空白索引。

不過，這一系列攻擊腳本似乎并不能適用于所有的攻擊場景，因為如果數據庫中本身就有數據項或索引為“nightlionsecurity.com”的話，那么這條數據或索引就不會發生任何變化了。

然而，在很多Elasticsearch服務器上，數據刪除行為是非常容易被發現的，而且也很顯而易見，因為日志條目直接在事件的發生日期就被“切斷”了，即3月24日、25日、26日等。由于Elasticsearch服務器中存儲的數據具有高度不穩定性，因此很難量化刪除數據的系統的確切數量。

Night Lion Security公司否認與此事件有關聯

就在此次事件被曝光的第二天，我們還嘗試與Night Lion Security網絡安全公司的創始人維尼·特洛亞(Vinny Troia)取得過一次聯系，而維尼·特洛亞本人也表示，否認他的公司與此次正在進行中的網絡攻擊事件有牽連。

在03月26日接受DataBreaches.net的采訪時，維尼·特洛亞表示，他相信此次攻擊事件是由一名他在過去幾年里一直在追蹤的黑客所實施的，而這名攻擊者也是他們之后打算要曝光的一個網絡犯罪分子。

其實一開始，03月26日的攻擊活動貌似看起來像一次惡作劇，但之后的一系列攻擊行為已經證實了這就是一次網絡犯罪活動。根據BinaryEdge的一項調查，在我們第一次與Night Lion Security網絡安全公司的創始人維尼·特洛亞(Vinny Troia)取得聯系的時候，只有大約150臺Elasticsearch服務器遭到了入侵，但是到現在為止，包含“nightlionsecurity.com”索引的Elasticsearch服務器數量已經上升到了15000余臺。

被入侵的Elasticsearch服務器數量已經非常多了，考慮到目前的安全情況不容樂觀，BinaryEdge也選擇將那些暴露在公開外網的34500多個不安全的Elasticsearch服務器直接曝光。

維尼·特洛亞表示，他目前也已經給將此次攻擊活動的詳細信息上報給了相關執法部門。

為此，ZDNet還專門與Elastic安全團隊取得了聯系，而該團隊目前也正在對逐漸增長的受入侵Elasticsearch服務器進行分析和調查。

約翰·威廷頓目前也在著手編制在此次攻擊活動中受影響的服務器地址列表，并試圖從中找出可能已經中斷服務的相關公司。

除此之外，在調查此次攻擊事件的同時，約翰·威廷頓還發現了另一名圖謀不軌的攻擊者，而這名攻擊者也將Elasticsearch服務器當作了他的攻擊目標。當時，這名攻擊者正在入侵大量不安全的Elasticsearch服務器，并在入侵成功之后留下消息告知目標用戶他們已經被黑客攻擊了，然后敦促他們通過電子郵件來與攻擊者聯系。目前，只有40多臺服務器發現了攻擊者留下的消息，這表明目前這一個攻擊活動的規模還不算很大。

后話

然而，這種針對Elasticsearch服務器或數據的破壞性攻擊已經不是第一次發生了。早在2017年第一季度，就曾有多個網絡犯罪組織針對包括Elasticsearch在內的多種數據庫服務器進行過數據勒索攻擊。

僅2017年，就曾有數千臺Elasticsearch服務器的數據被非法刪除，而攻擊者會留下了贖金信息，要求目標用戶或數據的所有者支付贖金請求以恢復數據。但悲催的是，這些受害者并不知道攻擊者從未對被非法刪除的數據進行過備份，因為這些被盜數據是直接被攻擊者刪除的。