微信号:OpenSkill_CN

介绍:一个开放的互联网技术交流平台,专注于开源技术、编程开发、数据库、云计算、大数据、自动化、Linux运维以及web开发等领域技术.在这里可以自由问答、交谈探讨技术问题,网址:http://OpenSkill.CN

一次被劫持挂马经历--Elasticsearch的远程执行漏洞

2015-11-19 19:22 开源技术社区


起因:


公司使用的是Ucloud的云主机服务,今天上午突然被告知有一台服务器的出口流量激增,对外发包量短时间内达到了100万,而且都是UDP类型的,第一感觉就是:诶呀,莫不是被黑了,被当肉鸡了呀!

探究:


立马登录对应的服务器,首先使用iftop查看流量状况



可以看出出口流量好吓人,1分钟内累计700M流量,查了一下这2个IP地址,一个是在美国,一个是在浙江电信;赶紧查看正在运行的进程,找出疑似进程,还真有所发现:


[.ECC6DFE919A382]这个进程还想冒充系统进程,疑点极大,而且/tmp/freeBSD也是一个很奇怪的东西,而498这个UID对应的用户是elasticsearch,想起来昨天部署了Elasticsearch + Logstash,以实现日志统计系统,不会是ES有bug吧,继续查看原因


疑/tmp/freeBSD就是被挂马的程序,可惜已经被删除了,无法查看了

原因:


罪魁祸首查出来了,细致的原因还需要详查,所以现在最重要的就是解决问题,迅速kill掉相关进程,再次查看iftop发现流量迅速回落了,更加证实了我们的判断;
接下来就需要查找被劫持挂马的原因和具体的劫持方式,以绝后患,而通过外部搜索引擎也是很快就定位了问题的原因,就是“Elasticsearch远程任意代码执行”漏洞:

  • ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理; ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。

  • 而在ElasticSearch 1.2之前的版本里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。

  • 其实官方是清楚这个漏洞的,在文档里有说明:

  • First, you should not run Elasticsearch as the root user, as this would allow a script to access or do anything on your server, without limitations. Second, you should not expose Elasticsearch directly to users, but instead have a proxy application inbetween.

终于找到原因,那就解决吧

解决方案:


法一:手动关闭ES远程执行脚本的功能,即在每一个ES节点的配置文件elasticsearch.yml中添加如下一行即可

script.disable_dynamic: true

然后重启ES即可.
法二:升级ES至1.2版本以上也可,因为在ES1.2版本中已默认关闭了远程执行脚本的功能,但需考虑与Logstash的兼容性问题

后续:


  1. 根据官方的资料,为了保证ES的安全性,不可以root身份启动ES,且可考虑使用代理(负载均衡器也可),对外开放非9200端口(如9300),转发至内网的9200端口,可有效防止小人们的恶意端口扫描;

  2. 因为已经被挂马了一次,所以在重新启用ES之前,还需全面检查被入侵的主机是否还有其它隐患,这就涉及web安全扫描的内容了,暂时小白,还未了解,故希望有经验的前辈可以多多请教!

最近我也遇到了这个问题,然后搜索发现这篇文章不错,然后就想分享给大家,希望大家可以避免踩坑!


感谢关注OpenSkill_CN订阅号,http://OpenSkill.CN开源技术社区是一个致力开源、分享平台,在这里你可以分享你的技术见解和问题,分享你解决技术问题的方法文章,为我们的后来学习者提供福利!


欢迎加QQ技术交流群(372476089),如果你认同这种开源、分享的极客精神的话,帮忙转发,让更多小伙伴知道开源技术社区,欢迎注册分享!


OpenSKill

OpenSkill 中国最极客IT技术问答平台 致力开源 、分享!

轻轻松松帮忙转发朋友圈:


 
开源技术社区 更多文章 开源的列存储数据库:MonetDB 创业公司增长曲线与鸿沟曲线 大数据能为我们做什么? 14流行的基于JavaScript的数据可视化工具 国内FM电台清单(享悦产品)
猜您喜欢 Tomcat怎样防止跨站请求伪造(CSRF) 【数据挖掘】手把手教你做文本挖掘 互联网企业该如何构建安全团队-职位规划与工作量化 Hotjar在架构演进中总结的8条经验 [活动公告]解放号邀您健康跑,快来报名啦!