公司的 ES 被攻击了,索引全被删了,怎么办?

2022-03-14 12:27:28 +08:00
 Geekerstar

日志:

triggering scheduled [ML] maintenance tasks
Deleting expired data
Successfully deleted [0] unused stats documents
Completed deletion of expired ML data
Successfully completed [ML] maintenance task: triggerDeleteExpiredDataTask
[索引名 /_9gr9zgRT2--TmrRfNlLfg] deleting index
[索引名 /itbXfQqGS_60oV-JF5149w] deleting index
read_me_to_recover_database] creating index, cause [api], templates [], shards [1]/[1]
create_mapping [hacked]
省略……

[url=https://imgtu.com/i/bO94Yj][img]https://s1.ax1x.com/2022/03/14/bO94Yj.jpg[/img][/url]

有没有办法能恢复呢?(估计悬)

后续能做什么措施防止再次发生呢?

这些人真的太操蛋了,s 全家。

上面说有备份,但是查看监控系统,被删除再凌晨两点过,当时服务器并没有大量网络 IO ,会不会数据是被存在本地了呢?即便是这样估计也加密了,没得搞

8673 次点击
所在节点    Elasticsearch
30 条回复
Geekerstar
2022-03-14 12:40:44 +08:00
和这个的情况一模一样: https://blog.csdn.net/weixin_42209307/article/details/114262920

😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭
Geekerstar
2022-03-14 12:45:45 +08:00
x-pack 好像是能给 ES 设置密码的,但是好像要收费,免费版有没有什么办法能提高安全性呢?
EminemW
2022-03-14 12:48:11 +08:00
免费版也能设置密码啊
matrix1010
2022-03-14 12:50:25 +08:00
设置密码是免费功能。但是首先你的 ES 是暴露在公网的?
swulling
2022-03-14 12:51:48 +08:00
@Geekerstar 不收费

1. 加密码
2. 比加密码更重要的是不要放到公网上,从而彻底豁免误配置、0day 的攻击。

一个非常基本的网络安全策略就是隔离内网和外网,内网访问外网通过 NAT 网关,外网访问内网也是需要配置 LB 网关。

开发连接内网使用 VPN ,不同地域的内网互联使用专线。如上各个云厂商都有很成熟的 VPC 解决方案
Geekerstar
2022-03-14 13:02:32 +08:00
@EminemW
@matrix1010
@swulling
感谢各位回复,我先去把密码搞上。😭
dko
2022-03-14 13:13:33 +08:00
ES 的端口为啥要对公网开放呢?
douglarek
2022-03-14 13:15:27 +08:00
你是真牛逼,es 外网访问
ffxrqyzby
2022-03-14 13:27:15 +08:00
恢复是不可能了, 都是物理删除
salmon5
2022-03-14 13:48:54 +08:00
果然是开放公网导致的
Chad0000
2022-03-14 13:55:52 +08:00
es 应该放的是二手数据吧?如果是还可以重新导入
liuyx7894
2022-03-14 14:28:52 +08:00
遇到过刚部署一台公网测试环境,还没有上密码就给删了,后来全部放内网。
后来我试了试扫描一下不需要密码的 kibana ,还不少....而且有不少也是被删了的状态
ruanimal
2022-03-14 14:43:31 +08:00
既然开放公网只能怪自己了
documentzhangx66
2022-03-14 14:53:50 +08:00
我连 nginx 与 ssh 都不敢开公网,外面还得套一层 vpn ,你特么数据库直接开公网,我也是佩服。
gadfly3173
2022-03-14 15:22:48 +08:00
大家都说不能开公网,不过对于只有一两个开发的小公司来说搞 VPN 啥的还挺麻烦的。。。用公网白名单是不是也还行来着
anjianshi
2022-03-14 15:31:51 +08:00
放公网服务器,但是不开对应端口也可以
HashV2
2022-03-14 15:46:40 +08:00
@gadfly3173

再麻烦也不能原端口无密码开公网吧? 哪怕没有局域网 dev 环境, 用其中一个开发的 pc 开数据库局域网连接也行啊
zhanggg
2022-03-14 15:56:54 +08:00
想起来原来上学的时候,笔记本起了个弱密码的 3306 服务,还把源端口直接映射到了公网
一天这台笔记本就没了,不得不重装系统
Ansen
2022-03-14 16:00:16 +08:00
我一般这样处理:服务放内网,然后用 nginx 反代+密码验证
zanxj
2022-03-14 16:15:15 +08:00
也太不注重网络安全了吧!未加密直接放公网不就是等着上门勒索么。X-Pack 是 Elastic 免费开放功能,有兴趣的同学可以来我们的 TG 群一起交流下使用心得 https://t.me/ElasticCommunity

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/840193

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX