Hadoop集群遭遇勒索软件攻击 据称中国有8300多个Hadoop集群暴露在互联网上

本文涉及的产品
云数据库 MongoDB,通用型 2核4GB
检索分析服务 Elasticsearch 版,2核4GB开发者规格 1个月
云数据库 MongoDB,独享型 2核8GB
推荐场景:
构建全方位客户视图
简介:

继上周绿盟科技发布 ElasticSearch专项报告 以来,又监测到勒索软件正在攻击Hadoop集群,这再次表明黑客正在尝试从“大数据”中获利,绿盟科技给出的建议是关闭端口、启用安全认证机制、使用WVSS Web应用漏洞扫描等方式进行安全扫描。绿盟科技发布的专项报告全文如下:

勒索软件攻击Hadoop事件综述

最近,部分黑客组织针对几款特定产品展开了勒索攻击。截止到上周,已有至少34000多台MongoDB数据库被黑客组织入侵,数据库中的数据被黑客擦除并索要赎金。随后,在2017年1月18日当天,又有数百台ElasticSearch服务器受到了勒索攻击,服务器中的数据被擦除。安全研究人员Niall Merrigan表示,截止到目前,受攻击的ElasticSearch服务器已经超过了2711台。紧随上述两次攻击事件,目前已经有黑客将目标瞄准了Hadoop集群。这些勒索攻击的攻击模式都较为相似,在整个攻击过程中并没有使用任何勒索软件,也没有涉及常规漏洞,而是利用相关产品的不安全配置,使攻击者有机可乘,轻而易举地对相关数据进行操作。

Hadoop简介

Apache Hadoop是一款支持数据密集型分布式应用并以Apache 2.0许可协议发布的开源软件框架,由Java语言实现,以计算机集群的形式实现对海量数据的分布式计算,可编写和运行分布式应用、处理大规模数据。Hadoop框架的两个核心设计是HDFS(Hadoop Distributed File System)和MapReduce。HDFS是一个分布式文件系统,具有高容错性的特点,并且被设计用来部署在廉价的硬件上;而且它能够以高吞吐量来访问应用程序的数据,尤其适合那些有着超大数据集的应用程序。MapReduce是一个使用简易的软件框架,基于它编写出来的应用程序能够运行在由上千个商用机器组成的大型集群上,并以一种可靠容错的方式并行处理上T级别的数据集。

勒索攻击模式

最近出现的针对MongoDB、ElasticSearch和Hadoop的勒索攻击模式都较为相似。在攻击过程中并没有涉及勒索软件和常规漏洞,而是利用相关产品不安全的配置,这为攻击者打开了方便之门。以MongoDB为例,这些受攻击的数据库没有采取任何身份验证,直接暴露在Internet公网上,一旦攻击者登录到这些开放的数据库就可以对其中的数据进行删除等恶意操作了;而针对ElasticSearch服务器的勒索攻击手段也是类似,ElasticSearch的TCP访问模式的默认端口为9300,HTTP访问模式的默认端口为9200,如果这些端口不做任何保护措施地暴露在公网上,那么对它的访问将没有任何身份认证,任何人在建立连接之后,都可以通过相关API对ElasticSearch服务器上的数据进行增删查改等任意操作。

而黑客针对Hadoop的勒索攻击,也是利用了暴露在公网上的端口。Hadoop集群的使用者往往出于便利或者本身安全意识不强的缘故,会将Hadoop的部分端口,比如HDFS的Web端口50070直接在公网上开放。攻击者可以简单使用相关命令来操作机器上的数据,比如:

使用上图格式中的命令可以递归删除test目录下的所有内容。

根据shodan.io的统计结果显示,在中国有8300多个Hadoop集群的50070端口暴露在公网上,如下图所示:

Hadoop%20clusters.png

(该图片来自shodan.io)

防护措施

关闭不必要的端口

Hadoop所使用的端口见下表:

HDFS

  • NameNode默认端口:50070
  • SecondNameNode默认端口:50090
  • DataNode默认端口:50075
  • Backup/Checkpoint Node默认端口:50105

YARN

  • ResourceManager默认端口:8088
  • JobTracker默认端口:50030
  • TaskTracker默认端口:50060

Hue

  • Hue默认端口:8080

启用Kerberos

在Hadoop1.0.0或者CDH3(CDH是Cloudera公司对Hadoop源码修改后的商业发行版)版本之前,Hadoop并不存在安全认证。在Hadoop1.0.0或者CDH3版本后,加入了Kerberos认证机制。集群内的节点需使用密钥进行认证,只有经过认证的节点才能正常使用。

使用绿盟科技的wvss产品进行扫描

MongoDB、CouchDB、Sorl、ElasticSearch、Hadoop等产品都是默认安装方式下无身份认证的,wvss可以检测在访问上述产品时是否添加了身份认证机制。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。



原文发布时间:2017年3月24日

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/hadoop-cluster-under-ransomware-attack

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关实践学习
利用Elasticsearch实现地理位置查询
本实验将分别介绍如何使用Elasticsearch7.10版本进行全文检索、多语言检索和地理位置查询三个Elasticsearch基础检索子场景的实现。
ElasticSearch 入门精讲
ElasticSearch是一个开源的、基于Lucene的、分布式、高扩展、高实时的搜索与数据分析引擎。根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎,其次是Apache Solr(也是基于Lucene)。 ElasticSearch的实现原理主要分为以下几个步骤: 用户将数据提交到Elastic Search 数据库中 通过分词控制器去将对应的语句分词,将其权重和分词结果一并存入数据 当用户搜索数据时候,再根据权重将结果排名、打分 将返回结果呈现给用户 Elasticsearch可以用于搜索各种文档。它提供可扩展的搜索,具有接近实时的搜索,并支持多租户。
相关文章
|
16小时前
|
分布式计算 资源调度 Hadoop
Hadoop软件与配置问题
【7月更文挑战第14天】
7 3
|
10天前
|
SQL 分布式计算 关系型数据库
Hadoop-12-Hive 基本介绍 下载安装配置 MariaDB安装 3台云服务Hadoop集群 架构图 对比SQL HQL
Hadoop-12-Hive 基本介绍 下载安装配置 MariaDB安装 3台云服务Hadoop集群 架构图 对比SQL HQL
16 2
|
18天前
|
存储 缓存 分布式计算
|
18天前
|
分布式计算 监控 网络协议
Hadoop集群长时间运行网络延迟原因
【6月更文挑战第20天】
27 2
|
18天前
|
数据采集 分布式计算 监控
Hadoop集群长时间运行数据倾斜原因
【6月更文挑战第20天】
22 6
|
19天前
|
存储 分布式计算 负载均衡
Hadoop集群长时间运行
【6月更文挑战第19天】
18 3
|
19天前
|
存储 分布式计算 监控
Hadoop集群添加新的DataNode
【6月更文挑战第19天】
13 1
|
24天前
|
分布式计算 资源调度 监控
分布式系统详解--框架(Hadoop-集群搭建)
分布式系统详解--框架(Hadoop-集群搭建)
90 0
|
13天前
|
分布式计算 Hadoop 大数据
优化大数据处理:Java与Hadoop生态系统集成
优化大数据处理:Java与Hadoop生态系统集成
|
15天前
|
分布式计算 Hadoop Java
优化大数据处理:Java与Hadoop生态系统集成
优化大数据处理:Java与Hadoop生态系统集成