Мои индексы ElasticSearch были загадочно удалены, как отлаживать?

Question

Я только что проверил свой сервер ElasticSearch, и индексы исчезли, индекс не осталось. Я не вижу никакой информации в/var/logs/elasticsearch и не уверен, что искать.

1) Как отладить, что пошло не так и как оно было удалено? 2) Мой поиск elastics доступен через публичный IP-адрес на порте 9200, я ничего не сделал для его защиты, не так ли? Кроме того, как мне его защитить, особенно когда мне нужно самому использовать его для вызова с моего собственного набора серверов.

В основном пытается понять, что пошло не так, и как предотвратить его повторение.

Answer 1

Похоже, это связано с удалением HTTP-сервисов из Интернета.

Вопрос 1:

Может быть, вы можете обновить свой уровень журнала, чтобы отследить это, см Logging

Вопрос 2:

1. Построить внутренний домен для elasticsearch, это может доступ из общего доступа.
2. Используйте X-Pack с разрешением для кластера поиска elasticsearch.

Answer 2

Похоже, вы были мишенью в новейшем взломе взлома. Возможно, ваш ES-кластер не был защищен.

Поиск сообщения в журналах

SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org 

См

https://discuss.elastic.co/t/ransom-attack-on-elasticsearch-cluster/71310

http://www.theregister.co.uk/2017/01/13/elasticsearch_mongodb/