喵喵机器人--elasticsearch被入侵删库

前段时间笔者自己公司搭建的elasticsearch搜索引擎被删库了.es的索引全部被删掉并且找不出痕迹

一度怀疑是kibana的用户名密码泄漏了被人从kibana删掉的.

然后修改账号密码,发现隔了一个星期索引还是被删了,并在es库将表的名字重命名为 无序字母数字-meow

在想我得罪了什么人吗?还是之前写博客报漏了ip地址??可是我都写的内网地址啊?怎么可能报漏呢?

时隔一个月都没有查出问题,直到有一天,发现数据被删之后除了留下了meow结尾的索引以外,还留下了一个让我哭笑不得的索引库

read_me,kibana建好之后查看内容如下:

SEND 0.015 BTC TO THIS WALLET: 1BJxnAYaaWNbQcL9o9GS768v3VqVMNDusD IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS [email protected]

翻译如下:

发送0.015 BTC到这个钱包：1bjxnayawnbqcl9o9gs768v3vqvmndusd如果你想恢复你的数据库！发送比特币后将您的服务器IP发送到此电子邮件[email protected]

让我发送比特币到攻击者的钱包才给我恢复,醉了.想笑.....还好我这些数据都是日志数据.

百度一搜索后缀meow,发现网上也出现了类似的攻击,而且全世界已经有6000多台服务器被攻击了.

真是厉害,原文在这里:超贱的“Meow攻击”会自动删除不安全的 Elasticsearch 数据库

 

 

 

总结:

不过此时意识到自己搭建到es库还是存在很大到安全隐患的,

1.搭建es库时应该修改默认端口9200.

2.另外ecs安全组端口应该设置指定ip可访问.

3.kibana的账号密码需要定期更新

4.elasticsearch需要设置账号密码

后期搭建自建服务的时候默认端口还是能改就改吧,虽然这次没被勒索成功,但这是次教训.

 

 

镇博美少女