지난주 갑자기 멀쩡하게 동작하던 로그 조회 기능이 작동안했다.
인덱스를 조회해 보니 기존 인덱스가 다 삭제 되고 *****-meow 라는 알 수 없는 인덱스가 잔뜩 생성되어 있었다.
yellow open dr5b0nb40s-meow _6PxFu_qQ5ybnoO-SR6IHA 1 1 0 0 283b 283b
yellow open hacssczns2-meow nv4veHIfTemeDK558F8B2Q 1 1 0 0 283b 283b
yellow open h5zwkvgz6p-meow kLXR-JLkQ8mp8W2Q7oXCDQ 1 1 0 0 283b 283b
yellow open djg6giqcn6-meow wsx1H1HHQK-IxImS3w-Hpw 1 1 0 0 283b 283b
yellow open jpi009cu2y-meow P8IKF5FWRDOjBqcp7XKycA 1 1 0 0 283b 283b
yellow open 42pfnldz6e-meow gM7zaoxMRty1ryy7YuY03g 1 1 0 0 283b 283b
yellow open 57gis373tn-meow CnDjwIxTS0ePJns757Q7ug 1 1 0 0 283b 283b
yellow open kkiqt1hvlw-meow sWA6ahueTgObrAafAkyvyA 1 1 0 0 283b 283b
yellow open tyrgr2v49b-meow niG3bcyRQdOorirF21204Q 1 1 0 0 283b 283b
yellow open 2qkt9i7dt4-meow 9fjBSaGMTAeMJRlRDTaV6A 1 1 0 0 283b 283b
yellow open 98u48y9hk7-meow dmnzR_B8SGOb8Ln1TGMJeg 1 1 0 0 283b 283b
yellow open p43tg2eumu-meow Sf1szv1_TVWseQ83ADARgQ 1 1 0 0 283b 283bmeow로 검색해보니,
보안되지 않은 데이터베이스를 무작위로 돌며 해당 이름으로 데이터를 파괴하는 자동화된 'meow어택'을 당했다는 사실을 알게 되었다.
그래서 AWS 보안 수준을 확인해보았더니 9200 포트에 대해 any로 열려있어서 보안 그룹을 정리하였다.
그리고 ***-meow 인덱스를 삭제 했다.
[정리]
1. 문제
- 기존의 인덱스가 삭제되고 알 수 없는 이름의 인덱스가 생성됨
2. 원인
- meow 어택 당함
- 왜 ? aws 보안 그룹 9200 포트가 열려있었음.
3. 해결
- 9200 포트 보안그룹 다시 설정
- postman사용하여 localhost:9200/indexName 으로 삭제
관련 포스트
www.bleepingcomputer.com/news/security/new-meow-attack-has-deleted-almost-4-000-unsecured-databases/
반응형
'프로그래밍 > ELK' 카테고리의 다른 글
| [ElasticSearch] 샤드 개수 부족으로 로그 수집 안되는 문제 (0) | 2021.06.11 |
|---|---|
| [logstash] logstash로 'file' 수집하기 (0) | 2020.10.12 |
| [ElasticSearch] ElasticSearch 서비스로 설치 (0) | 2020.07.30 |
| [nssm] nssm 다운로드/사용 (0) | 2020.07.30 |
| [Logstash] Logstash windows service로 설치 (0) | 2020.07.29 |
댓글