安全资讯/
UCloud-201701-002: 大批Elasticsearch被勒索软件攻击
-
UCloud-201701-002: 大批Elasticsearch被勒索软件攻击
尊敬的UCloud用户:目前全球有大批开放在公网的Elasticsearch服务器正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密或删除,受害者必须支付赎金才能找回自己的数据,甚至支付赎金也无法恢复数据。请您及时检查自身使用的Elasticsearch服务器是否受到影响。检查方法检查是否可以通过外网访问Elasticsearch服务器解决方案1)重新配置环境,使Elasticsearch只可在公司内网环境中访问:修改elasticsearch.yml配置文件,将network.host或者network.bind_host修改为内网可访问的ip;例如:network.bind_host: 127.0.0.1 #设置绑定的ip地址,默认为0.0.0.0; network.publish_host: 127.0.0.1 #设置其它节点和该节点交互的ip地址,如果不设置它会自动判断。network.host: 127.0.0.1#同时设置bind_host和publish_host两个参数。2)如果需要通过外网环境来访问Elasticsearch集群,需要通过防火墙、虚拟专用网(VPN)、反向代理或其他技术,限制从外网来访问集群的行为。例如:#限制可访问的ip和端口:iptables -I INPUT -p tcp –dport 9200 -j DROP(默认端口为9200)#限制访问Elasticsearch端口的ip:sudo iptables -I INPUT -s 127.0.0.1 -p tcp –dport 9200 -j ACCEPT参考链接Elasticsearch安全配置参考:*本平台所发布文章信息,版权归UCloud所有,如需转载请注明出处!