ELK,萌萌哒

es被攻击了,怎么处理?

Elasticsearch | 作者 ccttvvkill | 发布于2015年03月08日 | 阅读数:11162

估计是用作肉鸡攻击其他网站了,表象是大量新建进程访问某ip,导致自己网站带宽被耗尽,进程启动很快,无法完全kill掉。

我用的版本是1.3.4,外网不能直接访问es,网站查询接口中没有用到脚本,只有内部更新服务中用到了静态groovy脚本,不知道是否跟这个漏洞有关:http://bobao.360.cn/news/detail/1273.html

问题是他是怎么攻击的,现在只能重装系统了吗?

==================编辑更新=====================

目前看是因为http.enabled默认开启,tomcat所在机器也可以进行url查询,刚好tomcat所在机器有外网ip且防火墙没有屏蔽9200端口,相当于es直接部署在了外网...

新的问题是:能否通过制造特定搜索文本来进行攻击?就像sql注入那样?
已邀请:

tonylxc - You know, search

赞同来自: Rubricate 清风凌波 stab

1. 永远不要把Elasticsearch端口暴露给外网. Elasticsearch应当运行在private network中.
2. 禁用dynamic scripting.
3. Elasticsearch更新频繁, 务必跟上更新脚步至1.4.4
4. Elasticsearch并不依赖于Shield插件. Shield插件只是一个extra sugar, 并且是商业收费.

stab - freshman

赞同来自:

升级一下不行么?

Rubricate - hi

赞同来自:

我上次是被注入了,ddos攻击脚本。看你怎么启动es的了,如果是root,那还是重装吧····

stab - freshman

赞同来自:

话说官方推出安全插件shield~~不过暂时还没用过~

zhangyang

赞同来自:

我得es库被人攻击,发来勒索信息,安全如何做

要回复问题请先登录注册