V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Geekerstar
V2EX  ›  Elasticsearch

公司的 ES 被攻击了,索引全被删了,怎么办?

  •  
  •   Geekerstar · 104 天前 · 6714 次点击
    这是一个创建于 104 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日志:

    triggering scheduled [ML] maintenance tasks
    Deleting expired data
    Successfully deleted [0] unused stats documents
    Completed deletion of expired ML data
    Successfully completed [ML] maintenance task: triggerDeleteExpiredDataTask
    [索引名 /_9gr9zgRT2--TmrRfNlLfg] deleting index
    [索引名 /itbXfQqGS_60oV-JF5149w] deleting index
    read_me_to_recover_database] creating index, cause [api], templates [], shards [1]/[1]
    create_mapping [hacked]
    省略……
    

    [url=https://imgtu.com/i/bO94Yj][img]https://s1.ax1x.com/2022/03/14/bO94Yj.jpg[/img][/url]

    有没有办法能恢复呢?(估计悬)

    后续能做什么措施防止再次发生呢?

    这些人真的太操蛋了,s 全家。

    上面说有备份,但是查看监控系统,被删除再凌晨两点过,当时服务器并没有大量网络 IO ,会不会数据是被存在本地了呢?即便是这样估计也加密了,没得搞

    30 条回复    2022-03-15 15:43:28 +08:00
    Geekerstar
        1
    Geekerstar  
    OP
       104 天前
    和这个的情况一模一样: https://blog.csdn.net/weixin_42209307/article/details/114262920

    😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭😭
    Geekerstar
        2
    Geekerstar  
    OP
       104 天前
    x-pack 好像是能给 ES 设置密码的,但是好像要收费,免费版有没有什么办法能提高安全性呢?
    EminemW
        3
    EminemW  
       104 天前
    免费版也能设置密码啊
    matrix1010
        4
    matrix1010  
       104 天前 via iPhone
    设置密码是免费功能。但是首先你的 ES 是暴露在公网的?
    swulling
        5
    swulling  
       104 天前   ❤️ 1
    @Geekerstar 不收费

    1. 加密码
    2. 比加密码更重要的是不要放到公网上,从而彻底豁免误配置、0day 的攻击。

    一个非常基本的网络安全策略就是隔离内网和外网,内网访问外网通过 NAT 网关,外网访问内网也是需要配置 LB 网关。

    开发连接内网使用 VPN ,不同地域的内网互联使用专线。如上各个云厂商都有很成熟的 VPC 解决方案
    Geekerstar
        6
    Geekerstar  
    OP
       104 天前
    @EminemW
    @matrix1010
    @swulling
    感谢各位回复,我先去把密码搞上。😭
    dko
        7
    dko  
       104 天前
    ES 的端口为啥要对公网开放呢?
    douglarek
        8
    douglarek  
       104 天前 via Android
    你是真牛逼,es 外网访问
    ffxrqyzby
        9
    ffxrqyzby  
       104 天前
    恢复是不可能了, 都是物理删除
    salmon5
        10
    salmon5  
       104 天前
    果然是开放公网导致的
    Chad0000
        11
    Chad0000  
       104 天前 via iPhone
    es 应该放的是二手数据吧?如果是还可以重新导入
    liuyx7894
        12
    liuyx7894  
       104 天前
    遇到过刚部署一台公网测试环境,还没有上密码就给删了,后来全部放内网。
    后来我试了试扫描一下不需要密码的 kibana ,还不少....而且有不少也是被删了的状态
    ruanimal
        13
    ruanimal  
       104 天前
    既然开放公网只能怪自己了
    documentzhangx66
        14
    documentzhangx66  
       104 天前
    我连 nginx 与 ssh 都不敢开公网,外面还得套一层 vpn ,你特么数据库直接开公网,我也是佩服。
    gadfly3173
        15
    gadfly3173  
       104 天前
    大家都说不能开公网,不过对于只有一两个开发的小公司来说搞 VPN 啥的还挺麻烦的。。。用公网白名单是不是也还行来着
    anjianshi
        16
    anjianshi  
       104 天前
    放公网服务器,但是不开对应端口也可以
    HashV2
        17
    HashV2  
       104 天前
    @gadfly3173

    再麻烦也不能原端口无密码开公网吧? 哪怕没有局域网 dev 环境, 用其中一个开发的 pc 开数据库局域网连接也行啊
    zhanggg
        18
    zhanggg  
       104 天前
    想起来原来上学的时候,笔记本起了个弱密码的 3306 服务,还把源端口直接映射到了公网
    一天这台笔记本就没了,不得不重装系统
    Ansen
        19
    Ansen  
       104 天前
    我一般这样处理:服务放内网,然后用 nginx 反代+密码验证
    zanxj
        20
    zanxj  
       104 天前
    也太不注重网络安全了吧!未加密直接放公网不就是等着上门勒索么。X-Pack 是 Elastic 免费开放功能,有兴趣的同学可以来我们的 TG 群一起交流下使用心得 https://t.me/ElasticCommunity
    sebastianwade
        21
    sebastianwade  
       104 天前
    从你的日志看不太像是被直接删除,是不是你的过期策略有问题。从 v7 开始,es 是有 ILM 功能的。
    Geekerstar
        22
    Geekerstar  
    OP
       104 天前
    @sebastianwade 可以看一下上面的那个图,勒索 0.024 比特币
    sebastianwade
        23
    sebastianwade  
       104 天前
    @Geekerstar 好吧 那没得说了 dog.gif
    Rache1
        24
    Rache1  
       104 天前
    @gadfly3173 可以用 SSH 隧道
    encro
        25
    encro  
       104 天前
    等于公开将公司的数据库没密码放在网上了。

    加油,升职加薪全靠这样的队友了。
    holinhot
        26
    holinhot  
       104 天前 via iPhone
    好歹加个 http Auth 啊 放公网正常应该白名单
    ShikiSuen
        27
    ShikiSuen  
       103 天前
    ES 不能暴露在公網。
    suyuyu
        28
    suyuyu  
       103 天前
    es 我们都不放公网的
    lizytalk
        29
    lizytalk  
       103 天前 via iPhone
    ES 不是能设置认证么,免费版也有啊
    julyclyde
        30
    julyclyde  
       103 天前
    @Geekerstar 从 6.3 开始往后就免费了
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4438 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 67ms · UTC 02:01 · PVG 10:01 · LAX 19:01 · JFK 22:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.