갑자기 es에 있었던 인덱스에 데이터가 사라졌다! 지금 현재 logstash에서 데이터가 추가되면 es의 index에 데이터를 넣는 구조로 되어있다. 데이터가 사라진게 아니라 인덱스가 지워지고, logstash에서 자동으로 인덱스를 생성하고 이후 데이터를 넣어준 사건이다. 결론은 es instance가 meow-bot 공격받기 전에 권한 설정을 해야 한다. (대응 방법에 대한 내용은 언급하지 않습니다.)
원인 파악을 하기 위해서 kibana를 들어갔는데, 내가 생성하지 않았던 인덱스들이 있었다.
내가 만든게 얼마 없었는데 갑자기 인덱스의 개수가 54개?
인덱스 리스트를 보니 meow라는 단어가 포함되어 있다. 처음에 미우? 뭐지하고 찾아보니 access control 없이 운영하는 elasticsearch의 호스트를 찾아 돌아다니는 봇인데 권한 설정을 하지 않으면 인덱스를 모조리 지우고, meow가 포함된 인덱스들을 생성한다고 한다. 지금 현재 피해가 속출하고 있으며 대응이 필요하다.
실제 사용하고 있었던 인덱스를 보니, 특정 시점 이후에 인덱스가 다시 생성되고 데이터가 쌓이는것을 확인할 수 있었다. 처음에는 일부 데이터가 지워진줄로 착각하고 언제 지워진거지 봤는데…
현재 사용중인 인덱스와 meow의 인덱스 생성시기와 비슷하다! 이녀석이 나의 데이터를 지운녀석이다. 처음이 미우? 미우 하면서 이게 뭐야 찾아보는데 고양이 사진이 나오기 시작한다. 고양이 품종인가 싶었는데 입으로 미우를 소리내보니…(소리 내보고 약간 헛웃음)
고양이 울음소리였다. 현재 큰 서비스를 운영하는것도 아니고 그냥 나만의 대시보드를 꾸미는 인스턴스였는데도 이렇게 털렸다. 최근에 meow 관련되서 피해가 속출하고 있다고 한다. 데이터가 재산인데 고양이 울음소리와 함께 사라졌다. 다들 대응이 필요하다! 대응하는 방법에 대해서는 이후에 포스트로 작성할 예정이다. 데이터가 고양이 울음소리와 함께 날아가니 맥빠진다.