Через elasticsearch можно взломать сервер

Что собственно и случилось с моим уютненьким сайтом у хетцнера. Подробности - http://bouk.co/blog/elasticsearch-rce/

 

Я думаю, что через всё можно взломать сервер. Не только через Elastic. Особенно, если если это "все" неверно настроено.

 

Это всего лишь одна капля в океане, http://www.cvedetails.com/ - это только то что опубликовано и то это не всё из опубликованного.
Может стоит воспользоваться услугами https://www.cloudflare.com/ , у них есть довольно привлекательные услуги, правда счастье такое будет стоит от 20$ и выше в месяц( зависит от того какие опции Вы подключите ), ну а по сути спасёт бэкап, последующий анализ логов и исправление ошибок.

 

@Union, по идее через стенку должны быть доступны только те сервисы, которые должны быть видимы извне, а эластик к таковым не относится (только локалхост)

 

Там дело, видимо, в возможности вместе с поисковым запросом отправить в Elastic скрипт. Для этого не нужно иметь возможность подключаться к Elastic локально.

 

@FractalizeR, ну я бегло посмотрел старый Enhanced Search - там есть предобработка запроса и по идее нельзя сделать запрос с выполенением скрипта. Хотя смотрел только бегло и сказать на 100% не могу.
Но как мне кажется эластик попросту был виден извне (настройка по умолчанию).

 

Да, скорее всего, так и было.