我不小心使elasticsearch暴露在网上。
有人试图执行包含以下脚本的搜索:
String str = \"\";
BufferedReader br = new BufferedReader(newInputStreamReader(
Runtime.getRuntime().exec(\"/etc/init.d/iptables stop\").getInputStream()));
StringBuilder sb = new StringBuilder();
while((str = br.readLine()) != null){ sb.append(str); }
sb.toString();
"}}}}
似乎他们试图禁用计算机上的防火墙,并发送回命令结果。
如果找到查询是因为它导致以下异常:
java.lang.IllegalStateException: source and source_content_type parameters are required
我是否应该认为系统已受到威胁,或者这表明攻击已被阻止?
答案 0 :(得分:0)
您不应该假定已被破坏,但是您绝对应该从每台主机上删除完全访问权限,然后,深入弹性搜索服务器以搜索活动连接或任何受到破坏文件的迹象。
如果在AWS上使用ELK,它们不会在计算机上存储其他内容,但是如果是ELK堆栈中的独立安装,并且如果在服务器上存储其他内容,则应检查所有内容是否仍然存在。