V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Geekerstar
V2EX  ›  Elasticsearch

公司的 ES 被攻击了,索引全被删了,怎么办?

  •  
  •   Geekerstar · 2022-03-14 12:27:28 +08:00 · 8673 次点击
    这是一个创建于 1015 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日志:

    triggering scheduled [ML] maintenance tasks
    Deleting expired data
    Successfully deleted [0] unused stats documents
    Completed deletion of expired ML data
    Successfully completed [ML] maintenance task: triggerDeleteExpiredDataTask
    [索引名 /_9gr9zgRT2--TmrRfNlLfg] deleting index
    [索引名 /itbXfQqGS_60oV-JF5149w] deleting index
    read_me_to_recover_database] creating index, cause [api], templates [], shards [1]/[1]
    create_mapping [hacked]
    省略……
    

    [url=https://imgtu.com/i/bO94Yj][img]https://s1.ax1x.com/2022/03/14/bO94Yj.jpg[/img][/url]

    有没有办法能恢复呢?(估计悬)

    后续能做什么措施防止再次发生呢?

    这些人真的太操蛋了,s 全家。

    上面说有备份,但是查看监控系统,被删除再凌晨两点过,当时服务器并没有大量网络 IO ,会不会数据是被存在本地了呢?即便是这样估计也加密了,没得搞

    30 条回复    2022-03-15 15:43:28 +08:00
    Geekerstar
        1
    Geekerstar  
    OP
       2022-03-14 12:40:44 +08:00
    和这个的情况一模一样: https://blog.csdn.net/weixin_42209307/article/details/114262920

    😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭
    Geekerstar
        2
    Geekerstar  
    OP
       2022-03-14 12:45:45 +08:00
    x-pack 好像是能给 ES 设置密码的,但是好像要收费,免费版有没有什么办法能提高安全性呢?
    EminemW
        3
    EminemW  
       2022-03-14 12:48:11 +08:00
    免费版也能设置密码啊
    matrix1010
        4
    matrix1010  
       2022-03-14 12:50:25 +08:00 via iPhone
    设置密码是免费功能。但是首先你的 ES 是暴露在公网的?
    swulling
        5
    swulling  
       2022-03-14 12:51:48 +08:00   ❤️ 1
    @Geekerstar 不收费

    1. 加密码
    2. 比加密码更重要的是不要放到公网上,从而彻底豁免误配置、0day 的攻击。

    一个非常基本的网络安全策略就是隔离内网和外网,内网访问外网通过 NAT 网关,外网访问内网也是需要配置 LB 网关。

    开发连接内网使用 VPN ,不同地域的内网互联使用专线。如上各个云厂商都有很成熟的 VPC 解决方案
    Geekerstar
        6
    Geekerstar  
    OP
       2022-03-14 13:02:32 +08:00
    @EminemW
    @matrix1010
    @swulling
    感谢各位回复,我先去把密码搞上。😭
    dko
        7
    dko  
       2022-03-14 13:13:33 +08:00
    ES 的端口为啥要对公网开放呢?
    douglarek
        8
    douglarek  
       2022-03-14 13:15:27 +08:00 via Android
    你是真牛逼,es 外网访问
    ffxrqyzby
        9
    ffxrqyzby  
       2022-03-14 13:27:15 +08:00
    恢复是不可能了, 都是物理删除
    salmon5
        10
    salmon5  
       2022-03-14 13:48:54 +08:00
    果然是开放公网导致的
    Chad0000
        11
    Chad0000  
       2022-03-14 13:55:52 +08:00 via iPhone
    es 应该放的是二手数据吧?如果是还可以重新导入
    liuyx7894
        12
    liuyx7894  
       2022-03-14 14:28:52 +08:00
    遇到过刚部署一台公网测试环境,还没有上密码就给删了,后来全部放内网。
    后来我试了试扫描一下不需要密码的 kibana ,还不少....而且有不少也是被删了的状态
    ruanimal
        13
    ruanimal  
       2022-03-14 14:43:31 +08:00
    既然开放公网只能怪自己了
    documentzhangx66
        14
    documentzhangx66  
       2022-03-14 14:53:50 +08:00
    我连 nginx 与 ssh 都不敢开公网,外面还得套一层 vpn ,你特么数据库直接开公网,我也是佩服。
    gadfly3173
        15
    gadfly3173  
       2022-03-14 15:22:48 +08:00
    大家都说不能开公网,不过对于只有一两个开发的小公司来说搞 VPN 啥的还挺麻烦的。。。用公网白名单是不是也还行来着
    anjianshi
        16
    anjianshi  
       2022-03-14 15:31:51 +08:00
    放公网服务器,但是不开对应端口也可以
    HashV2
        17
    HashV2  
       2022-03-14 15:46:40 +08:00
    @gadfly3173

    再麻烦也不能原端口无密码开公网吧? 哪怕没有局域网 dev 环境, 用其中一个开发的 pc 开数据库局域网连接也行啊
    zhanggg
        18
    zhanggg  
       2022-03-14 15:56:54 +08:00
    想起来原来上学的时候,笔记本起了个弱密码的 3306 服务,还把源端口直接映射到了公网
    一天这台笔记本就没了,不得不重装系统
    Ansen
        19
    Ansen  
       2022-03-14 16:00:16 +08:00
    我一般这样处理:服务放内网,然后用 nginx 反代+密码验证
    zanxj
        20
    zanxj  
       2022-03-14 16:15:15 +08:00
    也太不注重网络安全了吧!未加密直接放公网不就是等着上门勒索么。X-Pack 是 Elastic 免费开放功能,有兴趣的同学可以来我们的 TG 群一起交流下使用心得 https://t.me/ElasticCommunity
    sebastianwade
        21
    sebastianwade  
       2022-03-14 16:20:16 +08:00
    从你的日志看不太像是被直接删除,是不是你的过期策略有问题。从 v7 开始,es 是有 ILM 功能的。
    Geekerstar
        22
    Geekerstar  
    OP
       2022-03-14 18:06:13 +08:00
    @sebastianwade 可以看一下上面的那个图,勒索 0.024 比特币
    sebastianwade
        23
    sebastianwade  
       2022-03-14 19:21:44 +08:00
    @Geekerstar 好吧 那没得说了 dog.gif
    Rache1
        24
    Rache1  
       2022-03-14 19:32:59 +08:00
    @gadfly3173 可以用 SSH 隧道
    encro
        25
    encro  
       2022-03-15 08:59:04 +08:00
    等于公开将公司的数据库没密码放在网上了。

    加油,升职加薪全靠这样的队友了。
    holinhot
        26
    holinhot  
       2022-03-15 09:38:32 +08:00 via iPhone
    好歹加个 http Auth 啊 放公网正常应该白名单
    m0yBPjyX3475syS4
        27
    m0yBPjyX3475syS4  
       2022-03-15 10:04:31 +08:00
    ES 不能暴露在公網。
    suyuyu
        28
    suyuyu  
       2022-03-15 11:36:41 +08:00
    es 我们都不放公网的
    lizytalk
        29
    lizytalk  
       2022-03-15 12:17:23 +08:00 via iPhone
    ES 不是能设置认证么,免费版也有啊
    julyclyde
        30
    julyclyde  
       2022-03-15 15:43:28 +08:00
    @Geekerstar 从 6.3 开始往后就免费了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4002 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:18 · PVG 18:18 · LAX 02:18 · JFK 05:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.