公司的 ES 被攻击了,索引全被删了,怎么办?

2022-03-14 12:27:28 +08:00
 Geekerstar

日志:

triggering scheduled [ML] maintenance tasks
Deleting expired data
Successfully deleted [0] unused stats documents
Completed deletion of expired ML data
Successfully completed [ML] maintenance task: triggerDeleteExpiredDataTask
[索引名 /_9gr9zgRT2--TmrRfNlLfg] deleting index
[索引名 /itbXfQqGS_60oV-JF5149w] deleting index
read_me_to_recover_database] creating index, cause [api], templates [], shards [1]/[1]
create_mapping [hacked]
省略……

[url=https://imgtu.com/i/bO94Yj][img]https://s1.ax1x.com/2022/03/14/bO94Yj.jpg[/img][/url]

有没有办法能恢复呢?(估计悬)

后续能做什么措施防止再次发生呢?

这些人真的太操蛋了,s 全家。

上面说有备份,但是查看监控系统,被删除再凌晨两点过,当时服务器并没有大量网络 IO ,会不会数据是被存在本地了呢?即便是这样估计也加密了,没得搞

8327 次点击
所在节点    Elasticsearch
30 条回复
sebastianwade
2022-03-14 16:20:16 +08:00
从你的日志看不太像是被直接删除,是不是你的过期策略有问题。从 v7 开始,es 是有 ILM 功能的。
Geekerstar
2022-03-14 18:06:13 +08:00
@sebastianwade 可以看一下上面的那个图,勒索 0.024 比特币
sebastianwade
2022-03-14 19:21:44 +08:00
@Geekerstar 好吧 那没得说了 dog.gif
Rache1
2022-03-14 19:32:59 +08:00
@gadfly3173 可以用 SSH 隧道
encro
2022-03-15 08:59:04 +08:00
等于公开将公司的数据库没密码放在网上了。

加油,升职加薪全靠这样的队友了。
holinhot
2022-03-15 09:38:32 +08:00
好歹加个 http Auth 啊 放公网正常应该白名单
ShikiSuen
2022-03-15 10:04:31 +08:00
ES 不能暴露在公網。
suyuyu
2022-03-15 11:36:41 +08:00
es 我们都不放公网的
lizytalk
2022-03-15 12:17:23 +08:00
ES 不是能设置认证么,免费版也有啊
julyclyde
2022-03-15 15:43:28 +08:00
@Geekerstar 从 6.3 开始往后就免费了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/840193

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX