Атака на эластичный поиск сорвана?

Question

Я случайно оставил эластичный поиск открытым для паутины.

Кто-то пытался выполнить поиск, включающий следующий скрипт:

    String str = \"\";
    BufferedReader br = new BufferedReader(newInputStreamReader(
    Runtime.getRuntime().exec(\"/etc/init.d/iptables stop\").getInputStream()));
    StringBuilder sb = new StringBuilder();
    while((str = br.readLine()) != null){ sb.append(str); }
    sb.toString();
    "}}}}

Похоже, они пытались отключить брандмауэр на машине и отослали результат команды.

Если найден запрос, потому что он вызвал следующее исключение:

java.lang.IllegalStateException: source and source_content_type parameters are required

Должен ли я предположить, что система была взломана, или это признак того, что атака была сорвана?

Answer 1

Вы не должны предполагать, что это было скомпрометировано, но вам определенно следует удалить полный доступ со всех хостов, а после этого покопаться на сервереasticsearch для поиска активных соединений или признаков любого скомпрометированного файла.

Если вы используете ELK в AWS, они не хранят другие вещи на компьютере, но если это отдельная установка из стека ELK и если вы храните другие вещи на сервере, вам следует проверить, все ли еще там.