阿里云服务器第二次中毒被勒索了

2023-02-22 11:28:46 +08:00
 skip666

之前买了一台 1c2g 的阿里云服务器,上面使用 typecho 搭建了一个个人博客,大概写了有几篇。由于好久不用,上次想去博客里看看,发现访问不了,查询后发现数据库没了,然后有个 README 的库,进去发现有要转 btc 恢复数据勒索。后来想就几个博客算了,不要了。最近有在上面搭建了一个测试的程序,今天又发现被勒索了,然后还有恶意脚本。勒索: 您的数据库已删除。您必须支付 0.017 比特币 (BTC) 才能取回它们。我拥有的备份:tpecho, my_platform 。通过 dong10349@proton.me 与我联系 只有与付款相关的邮件才会得到答复 病毒脚本: /etc/crontab /etc/newinit.sh 部分内容: miner_url="http://45.83.123.29/cleanfda/zzh" miner_url_backup="http://en2an.top/cleanfda/zzh" miner_size="2269048" sh_url="http://45.83.123.29/cleanfda/newinit.sh" sh_url_backup="http://en2an.top/cleanfda/newinit.sh" chattr_size="8000"

5634 次点击
所在节点    程序员
44 条回复
blankmiss
2023-02-22 12:07:44 +08:00
不会是用了破解版的主题把
kilala2020
2023-02-22 12:23:21 +08:00
第一次被勒索后,重建系统了么?
mjVtb96d2bap2u3Z
2023-02-22 12:31:51 +08:00
为什么要强调“阿里云服务器”?关键是自己的安全没做好。
mifar
2023-02-22 12:31:52 +08:00
没 get 到一定要加一个阿里云的关键词是啥意思
yaott2020
2023-02-22 12:37:40 +08:00
建议自查一下:

1 防火墙开了没有,没用的端口是不是没开

2 ssh 是不是默认 root 登录 是不是没用私钥|证书登录 是不是没有 fail2ban 类似的防御机制

3 系统有没有什么不明可执行文件,包括不限于网上不知道哪里找的破解版,绿色版

4 查一下当前使用的软件是不是有什么已知高危漏洞,有没有修复更新
john2022
2023-02-22 12:40:08 +08:00
一般都是 redis 空密码然后开放端口。正常情况不会。我用了这么久都没遭过。
virusdefender
2023-02-22 12:59:15 +08:00
阿里云肯定给你发过安全告警,这些检测都是基本能力,除非你把 agent 给卸载了
yaoyao1128
2023-02-22 13:05:41 +08:00
大概率:弱口令 ssh or redis 无密码 /弱密码
des
2023-02-22 13:06:27 +08:00
teem
2023-02-22 13:07:01 +08:00
备份数据,系统重做。
这种勒索程序,一般程序挂程序,很难清理干净。
clf
2023-02-22 13:09:36 +08:00
不该开的端口不要开。真要跑一堆需要互联的服务建议端口白名单或者 docker 网络。
skip666
2023-02-22 13:20:11 +08:00
准备重置系统,然后使用 docker 部署常用服务,mysql ,redis 密码都设置复杂点
abc0123xyz
2023-02-22 13:28:42 +08:00
端口只开 80 443
simau
2023-02-22 13:32:29 +08:00
这不是自己安全的问题吗?跟云厂商有什么关系?第一次中毒后就应该加强安全配置
xqk111
2023-02-22 13:38:58 +08:00
我一个没用的服务器,只开放了几个端口,ssh 是用证书登录的,没用启动任何服务。然后就突然被挖矿了,我感觉阿里云应该有问题。至今都很好奇,到底他们是怎么入侵的。
opengps
2023-02-22 13:40:17 +08:00
使用第三方的服务,往往容易有些通用的漏洞,看下日志就知道发布在公网的服务器被扫描了多少公共型路径
salmon5
2023-02-22 13:43:50 +08:00
为什么要强调“阿里云服务器”?自己菜别怪云厂商
timnottom
2023-02-22 14:01:33 +08:00
如果你观察过 nginx 日志,你会发现大堆的路径扫描的日志,这个同样 的道理;

随便找的:

152.89.196.211 - - [22/Feb/2023:13:39:20 +0800] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
89.248.163.213 - - [22/Feb/2023:13:49:16 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00" 400 157 "-" "-"
152.89.196.211 - - [22/Feb/2023:13:57:51 +0800] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
timnottom
2023-02-22 14:02:18 +08:00
@timnottom 我想说的是,网上大堆扫描脚本,专门干这种事
xiaotuzi
2023-02-22 14:40:30 +08:00
好像是数据库漏洞,不要用 3306 ,换掉端口。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/918185

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX