5月27日消息，金山毒霸安全中心最近发现了一个影响国内外众多网站的安全漏洞：服务器ElasticSearch命令执行漏洞。黑客利用此漏洞可以完全控制网站服务器，窃取访问用户的账号、密码等信息，甚至设置挂马、钓鱼等陷阱，给网民带来较严重的安全风险。

CM安全研究实验室早在5月21日就已发布全球安全预警，德国柏林政府网站、一家知名色情网站相继发现存在此漏洞。国内网站也未能幸免，5月24日、25日，知名漏洞报告平台乌云网曝光，多玩、土豆网、新东方、妈妈网、鲜果网、乐彩网、263通信等网站上的某些服务器存在ElasticSearch命令执行漏洞。

 

图注：乌云网显示，国内多家网站服务器存在ElasticSearch命令执行漏洞

据金山毒霸安全中心分析，该漏洞存在于一个名为ElasticSearch.yml的文件，影响ElasticSearch 1.2及以下版本。ElasticSearch是构建在Apache Lucene之上的开源、分布式搜索引擎服务，由于其安装方便、使用简单、稳定可靠，因此被应用于大量网站当中。

在这个文件中存在一个配置项“script.disable_dynamic”，默认为“false”。此默认配置允许服务器动态执行用户发送的任意代码。黑客只需要通过一个URL地址向服务器传送一段代码，就可以创建和执行他们自己的程序。一旦黑客获得通过，他们在服务器上的操作将不受任何限制，包括窃取网站中的用户账号及密码等敏感信息，或者留下一个后门程序。

为了评估这个漏洞的潜在影响，CM安全研究实验室分析了全球1000万个网站。幸运的是，使用ElasticSearch较低版本的网站数量不大，大约2000个网站存在风险，其中有42个网站在攻击面前不堪一击。

金山毒霸安全专家建议网站管理员检查自己的服务器是否存在此安全风险。解决方法并不复杂，修改配置文件，添加“script.disable_dynamic: true”，这样就可以关闭动态执行脚本的功能;或者将Elasticsearch软件版本升级到1.2以上亦可解决。

同时，专家还建议手机网民安装金山手机毒霸、CM Security等安全软件，保护自己的信息安全，拦截黑客在一些网站服务器上留下的恶意软件。

(责任编辑：安博涛)