UCloud-201701-002: 大批Elasticsearch被勒索软件攻击 | U刻
  • UCloud-201701-002: 大批Elasticsearch被勒索软件攻击

    栏目:安全资讯

    elasticsearch-large-banner

    尊敬的UCloud用户:
    目前全球有大批开放在公网的Elasticsearch服务器正在遭受多个黑客组织的攻击,被攻破的数据库内容会被加密或删除,受害者必须支付赎金才能找回自己的数据,甚至支付赎金也无法恢复数据。
    请您及时检查自身使用的Elasticsearch服务器是否受到影响。

     

    检查方法
    检查是否可以通过外网访问Elasticsearch服务器

     

    解决方案
    1)重新配置环境,使Elasticsearch只可在公司内网环境中访问:
    修改elasticsearch.yml配置文件,将network.host或者network.bind_host修改为内网可访问的ip;
    例如:
    network.bind_host: 127.0.0.1 #设置绑定的ip地址,默认为0.0.0.0; network.publish_host: 127.0.0.1 #设置其它节点和该节点交互的ip地址,如果不设置它会自动判断。
    network.host: 127.0.0.1
    #同时设置bind_host和publish_host两个参数。
    2)如果需要通过外网环境来访问Elasticsearch集群,需要通过防火墙、虚拟专用网(VPN)、反向代理或其他技术,限制从外网来访问集群的行为。
    例如:
    #限制可访问的ip和端口:
    iptables -I INPUT -p tcp –dport 9200 -j DROP(默认端口为9200)
    #限制访问Elasticsearch端口的ip:
    sudo iptables -I INPUT -s 127.0.0.1 -p tcp –dport 9200 -j ACCEPT

     

    参考链接
    Elasticsearch安全配置参考: