UCloud-201701-002: 大批Elasticsearch被勒索软件攻击

尊敬的UCloud用户:

目前全球有大批开放在公网的Elasticsearch服务器正在遭受多个黑客组织的攻击，被攻破的数据库内容会被加密或删除，受害者必须支付赎金才能找回自己的数据，甚至支付赎金也无法恢复数据。

请您及时检查自身使用的Elasticsearch服务器是否受到影响。

检查是否可以通过外网访问Elasticsearch服务器

1）重新配置环境，使Elasticsearch只可在公司内网环境中访问：

修改elasticsearch.yml配置文件，将network.host或者network.bind_host修改为内网可访问的ip；

例如：

network.bind_host: 127.0.0.1 #设置绑定的ip地址，默认为0.0.0.0； network.publish_host: 127.0.0.1 #设置其它节点和该节点交互的ip地址，如果不设置它会自动判断。

network.host: 127.0.0.1

#同时设置bind_host和publish_host两个参数。

2）如果需要通过外网环境来访问Elasticsearch集群，需要通过防火墙、虚拟专用网（VPN）、反向代理或其他技术，限制从外网来访问集群的行为。

例如：

#限制可访问的ip和端口：

iptables -I INPUT -p tcp –dport 9200 -j DROP（默认端口为9200）

#限制访问Elasticsearch端口的ip：

sudo iptables -I INPUT -s 127.0.0.1 -p tcp –dport 9200 -j ACCEPT

Elasticsearch安全配置参考：