这是一个创建于 766 天前的主题,其中的信息可能已经有所发展或是发生改变。
日志:
triggering scheduled [ML] maintenance tasks
Deleting expired data
Successfully deleted [0] unused stats documents
Completed deletion of expired ML data
Successfully completed [ML] maintenance task: triggerDeleteExpiredDataTask
[索引名 /_9gr9zgRT2--TmrRfNlLfg] deleting index
[索引名 /itbXfQqGS_60oV-JF5149w] deleting index
read_me_to_recover_database] creating index, cause [api], templates [], shards [1]/[1]
create_mapping [hacked]
省略……
[url=https://imgtu.com/i/bO94Yj][img]https://s1.ax1x.com/2022/03/14/bO94Yj.jpg[/img][/url]
有没有办法能恢复呢?(估计悬)
后续能做什么措施防止再次发生呢?
这些人真的太操蛋了,s 全家。
上面说有备份,但是查看监控系统,被删除再凌晨两点过,当时服务器并没有大量网络 IO ,会不会数据是被存在本地了呢?即便是这样估计也加密了,没得搞
 |
1
Geekerstar OP |
|
2
Geekerstar OP x-pack 好像是能给 ES 设置密码的,但是好像要收费,免费版有没有什么办法能提高安全性呢?
|
 |
3
EminemW 2022-03-14 12:48:11 +08:00
免费版也能设置密码啊
|
 |
4
matrix1010 2022-03-14 12:50:25 +08:00 via iPhone
设置密码是免费功能。但是首先你的 ES 是暴露在公网的?
|
 |
5
swulling 2022-03-14 12:51:48 +08:00  1
@Geekerstar 不收费
1. 加密码 2. 比加密码更重要的是不要放到公网上,从而彻底豁免误配置、0day 的攻击。 一个非常基本的网络安全策略就是隔离内网和外网,内网访问外网通过 NAT 网关,外网访问内网也是需要配置 LB 网关。 开发连接内网使用 VPN ,不同地域的内网互联使用专线。如上各个云厂商都有很成熟的 VPC 解决方案 |
|
6
Geekerstar OP |
 |
7
dko 2022-03-14 13:13:33 +08:00
ES 的端口为啥要对公网开放呢?
|
 |
8
douglarek 2022-03-14 13:15:27 +08:00 via Android
你是真牛逼,es 外网访问
|
 |
9
ffxrqyzby 2022-03-14 13:27:15 +08:00
恢复是不可能了, 都是物理删除
|
 |
10
salmon5 2022-03-14 13:48:54 +08:00
果然是开放公网导致的
|
 |
11
Chad0000 2022-03-14 13:55:52 +08:00 via iPhone
es 应该放的是二手数据吧?如果是还可以重新导入
|
 |
12
liuyx7894 2022-03-14 14:28:52 +08:00
遇到过刚部署一台公网测试环境,还没有上密码就给删了,后来全部放内网。
后来我试了试扫描一下不需要密码的 kibana ,还不少....而且有不少也是被删了的状态 |
 |
13
ruanimal 2022-03-14 14:43:31 +08:00
既然开放公网只能怪自己了
|
 |
14
documentzhangx66 2022-03-14 14:53:50 +08:00
我连 nginx 与 ssh 都不敢开公网,外面还得套一层 vpn ,你特么数据库直接开公网,我也是佩服。
|
 |
15
gadfly3173 2022-03-14 15:22:48 +08:00
大家都说不能开公网,不过对于只有一两个开发的小公司来说搞 VPN 啥的还挺麻烦的。。。用公网白名单是不是也还行来着
|
 |
16
anjianshi 2022-03-14 15:31:51 +08:00
放公网服务器,但是不开对应端口也可以
|
 |
17
HashV2 2022-03-14 15:46:40 +08:00
|
 |
18
zhanggg 2022-03-14 15:56:54 +08:00
想起来原来上学的时候,笔记本起了个弱密码的 3306 服务,还把源端口直接映射到了公网
一天这台笔记本就没了,不得不重装系统 |
 |
19
Ansen 2022-03-14 16:00:16 +08:00
我一般这样处理:服务放内网,然后用 nginx 反代+密码验证
|
 |
20
zanxj 2022-03-14 16:15:15 +08:00
也太不注重网络安全了吧!未加密直接放公网不就是等着上门勒索么。X-Pack 是 Elastic 免费开放功能,有兴趣的同学可以来我们的 TG 群一起交流下使用心得 https://t.me/ElasticCommunity
|
 |
21
sebastianwade 2022-03-14 16:20:16 +08:00
从你的日志看不太像是被直接删除,是不是你的过期策略有问题。从 v7 开始,es 是有 ILM 功能的。
|
|
22
Geekerstar OP @sebastianwade 可以看一下上面的那个图,勒索 0.024 比特币
|
|
23
sebastianwade 2022-03-14 19:21:44 +08:00
@Geekerstar 好吧 那没得说了 dog.gif
|
 |
24
Rache1 2022-03-14 19:32:59 +08:00
@gadfly3173 可以用 SSH 隧道
|
 |
25
encro 2022-03-15 08:59:04 +08:00
等于公开将公司的数据库没密码放在网上了。
加油,升职加薪全靠这样的队友了。 |
 |
26
holinhot 2022-03-15 09:38:32 +08:00 via iPhone
好歹加个 http Auth 啊 放公网正常应该白名单
|
 |
27
ShikiSuen 2022-03-15 10:04:31 +08:00
ES 不能暴露在公網。
|
 |
28
suyuyu 2022-03-15 11:36:41 +08:00
es 我们都不放公网的
|
 |
29
lizytalk 2022-03-15 12:17:23 +08:00 via iPhone
ES 不是能设置认证么,免费版也有啊
|
 |
30
julyclyde 2022-03-15 15:43:28 +08:00
@Geekerstar 从 6.3 开始往后就免费了
|
Select Language