阿里云被黑客入侵植入挖矿软件并修改了 ssh key

2020-08-13 21:25:30 +08:00
 saixx
Redis 没设置好被入侵修改了 crontab,现在有一个 khugepaged 的挖矿软件,黑客在我电脑上写入了 ssh key,我已经把服务器关了,现在怎么处理,服务器上有我自己的 hexo 博客,有没有大佬支支招
7180 次点击
所在节点    Linux
36 条回复
realpg
2020-08-14 10:57:17 +08:00
你一定是用的 centos
xuejianxianzun
2020-08-14 11:10:51 +08:00
我有个简单网站也用了 redis,我一开始就设置了密码 ,也修改了端口号,目前没啥问题
rubytek
2020-08-14 11:20:20 +08:00
这种都是自动扫端口注入的,如果是企业使用阿里云,一定都要配置安全组策略,限制公网端口开放。个人的你就当吃个教训吧。
lyi4ng
2020-08-14 11:20:55 +08:00
如果你只是想保留一下 hexo 的博客,建议直接挂 github 吧省事
如果还想用阿里云的话,就把 hexo 的文件整个备份一下然后重装下云系统
如过你连系统都不想重装就把 ssh key 删了,/etc/passwd 排查一下有没新帐号,redis 加密码,crontab 配置删了,挖矿守护进程杀了(有的话),挖矿进程杀了,挖矿马删了等等等等
wfd0807
2020-08-14 11:22:05 +08:00
用 docker,保护好宿主,容器随便造
wangyzj
2020-08-14 12:04:06 +08:00
redis bug 多年前就被干过
挖矿算好的
我那个被勒索
直接关闭主机了
Mutoo
2020-08-14 12:18:19 +08:00
Redis 为啥不直接用 rds,要放在 ecs 上。
swsh007
2020-08-14 12:37:42 +08:00
被挖矿的路过
不知道咋弄的
拿 htop 看 cpu 占用率发现总是 100%
virusdefender
2020-08-14 15:06:40 +08:00
不设置密码
不开安全组
不装安骑士
v2yooha
2020-08-14 15:56:57 +08:00
@Rwing 我的 docker 跑 redis,然后几个月前发现被植入了挖矿程序 kdevtmpfsi,他还给我加了几个 crontab
m4d3bug
2020-08-14 16:12:02 +08:00
都会用 nginx 了,不能直接用 nginx 反代 gothub 的博客地址么
coolcoffee
2020-08-14 16:20:00 +08:00
redis 默认没有 ssl 认证,被中间人窃听或者被爆破都是有可能的。建议只通过内网访问。

外网需要访问简单点可以用 ssh 做隧道映射一下端口,复杂点就用 wireguard 、openvpn 之类的去做。
Rwing
2020-08-14 16:39:37 +08:00
@v2yooha 是 host ?还是容器里?
ladypxy
2020-08-14 16:49:58 +08:00
Redis 单机用的话为什么不用 socks 连接
stephCurry
2020-08-14 17:09:36 +08:00
我都不设置密码,redis 不是默认 本地 127 访问吗,咋还能被入侵
v2yooha
2020-08-14 19:15:34 +08:00
@Rwing 容器里面

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/698087

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX