上个月就出现了警告,要注意为采用不安全的默认设置的软件保驾护航,可是Hadoop分布式文件系统(HDFS)集群的管理员显然对此没有放在心上。
据GDI基金会的三名安全研究人员维克托·格弗斯(Victor Gevers)、尼尔·梅里甘(Niall Merrigan)和马特·布罗米莱(Matt Bromiley)声称,针对Hadoop集群的攻击已删除了至少165个集群的数据。这三人声称,目前大约有5300个Hadoop集群暴露在互联网面前,其中一些可能岌岌可危。
这三个人的报告声明:“HDFS管理员系统的默认安装绑定到IP地址0.0.0.0,并允许任何身份未经验证的用户对Hadoop集群执行超级用户功能。这些功能可以通过Web浏览器来加以执行,无法阻止攻击者采取破坏性操作。这可能包括在短短几秒内破坏拥有数TB数据的数据节点、数据卷或快照。”
IT网站The Register曾特别报道,上个月,之前一轮攻击袭击了Hadoop集群,通过端口50070来攻击。
当时,发现一名攻击者删除了文件目录,并添加了一个名为/NODATA4U_SECUREYOURSHIT的新目录。
实施目前这一轮攻击的那些人同样删除了数据,同时放置了一个名为/PLEASE_README的目录。
这显然会是放置勒索信的地方,勒索信承诺:如果拿到赎金,就会恢复已删除的数据。格弗斯告诉The Register,自己找不到勒索信,因此这次攻击看起来像是蓄意破坏。他补充道:“或者这最后一次攻击仅仅创建了一个空目录,攻击者却忘了放置勒索信。我们之前见过针对MongoDB的这种未达到预期目的的攻击。”
这几位研究人员表示,虽然攻击者可能要求支付赎金,但是他们根本拿不出任何数据来还给受害者。报告声称:“如数支付了赎金的受害者没有因此拿回数据,常常没有办法恢复数据。”
Hadoop攻击让人不由得想到了之前影响MongoDB和Elasticsearch实例的攻击。
研究人员预测,过不了多久,HDFS会遭到更猛烈的勒索软件攻击。
他们建议开启Hadoop安全数据节点(Hadoop Secure Datanode)、安全模式(Safemode)和服务级别身份验证(通过Kerberos)等机制。他们还建议,阻止不可信任的IP地址通过端口50070来访问,通过某种OpenVPN来添加身份及访问管理(IAM)控制和网络分段机制,并且部署Knox之类的反向代理系统,防止未经授权用户访问。
当然,你也完全可以任由大门敞开,希望没人顺走你的数据,那就让老天爷来保佑你吧。
