公司的 ES 被攻击了,索引全被删了,怎么办? - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Geekerstar
V2EX    Elasticsearch

公司的 ES 被攻击了,索引全被删了,怎么办?

  •  
  •   Geekerstar 2022-03-14 12:27:28 +08:00 9231 次点击
    这是一个创建于 1356 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日志:

    triggering scheduled [ML] maintenance tasks Deleting expired data Successfully deleted [0] unused stats documents Completed deletion of expired ML data Successfully completed [ML] maintenance task: triggerDeleteExpiredDataTask [索引名 /_9gr9zgRT2--TmrRfNlLfg] deleting index [索引名 /itbXfQqGS_60oV-JF5149w] deleting index read_me_to_recover_database] creating index, cause [api], templates [], shards [1]/[1] create_mapping [hacked] 省略…… 

    [url=https://imgtu.com/i/bO94Yj][img]https://s1.ax1x.com/2022/03/14/bO94Yj.jpg[/img][/url]

    有没有办法能恢复呢?(估计悬)

    后续能做什么措施防止再次发生呢?

    这些人真的太操蛋了,s 全家。

    上面说有备份,但是查看监控系统,被删除再凌晨两点过,当时服务器并没有大量网络 IO ,会不会数据是被存在本地了呢?即便是这样估计也加密了,没得搞

    30 条回复    2022-03-15 15:43:28 +08:00
    Geekerstar
        1
    Geekerstar  
    OP
       2022-03-14 12:40:44 +08:00
    Geekerstar
        2
    Geekerstar  
    OP
       2022-03-14 12:45:45 +08:00
    x-pack 好像是能给 ES 设置密码的,但是好像要收费,免费版有没有什么办法能提高安全性呢?
    EminemW
        3
    EminemW  
       2022-03-14 12:48:11 +08:00
    免费版也能设置密码啊
    matrix1010
        4
    matrix1010  
       2022-03-14 12:50:25 +08:00 via iPhone
    设置密码是免费功能。但是首先你的 ES 是暴露在公网的?
    Geekerstar
        6
    Geekerstar  
    OP
       2022-03-14 13:02:32 +08:00
    @EminemW
    @matrix1010
    @swulling
    感谢各位回复,我先去把密码搞上。
    dko
        7
    dko  
       2022-03-14 13:13:33 +08:00
    ES 的端口为啥要对公网开放呢?
    douglarek
        8
    douglarek  
       2022-03-14 13:15:27 +08:00 via Android
    你是真牛逼,es 外网访问
    ffxrqyzby
        9
    ffxrqyzby  
       2022-03-14 13:27:15 +08:00
    恢复是不可能了, 都是物理删除
    salmon5
        10
    salmon5  
       2022-03-14 13:48:54 +08:00
    果然是开放公网导致的
    ktqFDx9m2Bvfq3y4
        11
    ktqFDx9m2Bvfq3y4  
       2022-03-14 13:55:52 +08:00 via iPhone
    es 应该放的是二手数据吧?如果是还可以重新导入
    liuyx7894
        12
    liuyx7894  
       2022-03-14 14:28:52 +08:00
    遇到过刚部署一台公网测试环境,还没有上密码就给删了,后来全部放内网。
    后来我试了试扫描一下不需要密码的 kibana ,还不少....而且有不少也是被删了的状态
    ruanimal
        13
    ruanimal  
       2022-03-14 14:43:31 +08:00
    既然开放公网只能怪自己了
    documentzhangx66
        14
    documentzhangx66  
       2022-03-14 14:53:50 +08:00
    我连 nginx 与 ssh 都不敢开公网,外面还得套一层 vpn ,你特么数据库直接开公网,我也是佩服。
    gadfly3173
        15
    gadfly3173  
       2022-03-14 15:22:48 +08:00
    大家都说不能开公网,不过对于只有一两个开发的小公司来说搞 VPN 啥的还挺麻烦的。。。用公网白名单是不是也还行来着
    anjianshi
        16
    anjianshi  
       2022-03-14 15:31:51 +08:00
    放公网服务器,但是不开对应端口也可以
    HashV2
        17
    HashV2  
       2022-03-14 15:46:40 +08:00
    @gadfly3173

    再麻烦也不能原端口无密码开公网吧? 哪怕没有局域网 dev 环境, 用其中一个开发的 pc 开数据库局域网连接也行啊
    zhanggg
        18
    zhanggg  
       2022-03-14 15:56:54 +08:00
    想起来原来上学的时候,笔记本起了个弱密码的 3306 服务,还把源端口直接映射到了公网
    一天这台笔记本就没了,不得不重装系统
    Ansen
        19
    Ansen  
       2022-03-14 16:00:16 +08:00
    我一般这样处理:服务放内网,然后用 nginx 反代+密码验证
    zanxj
        20
    zanxj  
       2022-03-14 16:15:15 +08:00
    也太不注重网络安全了吧!未加密直接放公网不就是等着上门勒索么。X-Pack 是 Elastic 免费开放功能,有兴趣的同学可以来我们的 TG 群一起交流下使用心得 https://t.me/ElasticCommunity
    sebastianwade
        21
    sebastianwade  
       2022-03-14 16:20:16 +08:00
    从你的日志看不太像是被直接删除,是不是你的过期策略有问题。从 v7 开始,es 是有 ILM 功能的。
    Geekerstar
        22
    Geekerstar  
    OP
       2022-03-14 18:06:13 +08:00
    @sebastianwade 可以看一下上面的那个图,勒索 0.024 比特币
    sebastianwade
        23
    sebastianwade  
       2022-03-14 19:21:44 +08:00
    @Geekerstar 好吧 那没得说了 dog.gif
    Rache1
        24
    Rache1  
       2022-03-14 19:32:59 +08:00
    @gadfly3173 可以用 SSH 隧道
    encro
        25
    encro  
       2022-03-15 08:59:04 +08:00
    等于公开将公司的数据库没密码放在网上了。

    加油,升职加薪全靠这样的队友了。
    holinhot
        26
    holinhot  
       2022-03-15 09:38:32 +08:00 via iPhone
    好歹加个 http Auth 啊 放公网正常应该白名单
    m0yBPjyX3475syS4
        27
    m0yBPjyX3475syS4  
       2022-03-15 10:04:31 +08:00
    ES 不能暴露在公。
    suyuyu
        28
    suyuyu  
       2022-03-15 11:36:41 +08:00
    es 我们都不放公网的
    lizytalk
        29
    lizytalk  
       2022-03-15 12:17:23 +08:00 via iPhone
    ES 不是能设置认证么,免费版也有啊
    julyclyde
        30
    julyclyde  
       2022-03-15 15:43:28 +08:00
    @Geekerstar 从 6.3 开始往后就免费了
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     907 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 22ms UTC 19:28 PVG 03:28 LAX 11:28 JFK 14:28
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86