阿里云服务器第二次中毒被勒索了

2023-02-22 11:28:46 +08:00
 skip666

之前买了一台 1c2g 的阿里云服务器,上面使用 typecho 搭建了一个个人博客,大概写了有几篇。由于好久不用,上次想去博客里看看,发现访问不了,查询后发现数据库没了,然后有个 README 的库,进去发现有要转 btc 恢复数据勒索。后来想就几个博客算了,不要了。最近有在上面搭建了一个测试的程序,今天又发现被勒索了,然后还有恶意脚本。勒索: 您的数据库已删除。您必须支付 0.017 比特币 (BTC) 才能取回它们。我拥有的备份:tpecho, my_platform 。通过 dong10349@proton.me 与我联系 只有与付款相关的邮件才会得到答复 病毒脚本: /etc/crontab /etc/newinit.sh 部分内容: miner_url="http://45.83.123.29/cleanfda/zzh" miner_url_backup="http://en2an.top/cleanfda/zzh" miner_size="2269048" sh_url="http://45.83.123.29/cleanfda/newinit.sh" sh_url_backup="http://en2an.top/cleanfda/newinit.sh" chattr_size="8000"

5634 次点击
所在节点    程序员
44 条回复
koloonps
2023-02-22 15:01:17 +08:00
@xqk111 openssl 是需要更新的,我之前的公司 openssl 没有更新服务器被攻击直接就无法访问了,重启之后都无法启动了
dongtingyue
2023-02-22 15:17:06 +08:00
vps 部署脚本
https://github.com/zarte/vps_deploy
默认不关 firewall ,后续需要的端口再手动添加允许。
lingeo
2023-02-22 16:16:55 +08:00
@skip666 你直接把数据库端口关了不行吗?数据库只允许本地访问,然后开发需要连接数据库走 shell 连接。
sabermiao
2023-02-22 16:23:53 +08:00
typecho 用的什么版本,这个老版本也有反序列化漏洞
dolphintwo
2023-02-22 16:48:51 +08:00
人不行怪路不平
proxychains
2023-02-22 17:06:27 +08:00
自己不会玩怪厂商?
skip666
2023-02-22 17:23:37 +08:00
这里没有怪服务商的原因,只是发文说下这个扫描端口的也太快了,第一次 typecho 数据库被劫持,应该数据库密码太简单被扫描破解的。这次是刚装了个 redis ,没设密码,然后几个小时内就把挖矿脚本搞进来了,数据库也被清除了。服务器当时买的就是测试学习用的,也就偶尔用下,没碰到过这种中毒勒索。
Ritter
2023-02-22 18:05:08 +08:00
楼上都是阿里云的分销商么 OP 只是阐述经过而已 有必要这么激动么
swulling
2023-02-22 18:07:18 +08:00
@skip666 为啥要把数据库和 redis 的端口往公网开放?
idragonet
2023-02-22 18:45:53 +08:00
Linux ?还是 WIN?
salmon5
2023-02-22 19:06:55 +08:00
@Ritter #28 ,不是分销商,是太多这种案例了,我都碰到几次,今儿个 mongo 被加密了,明儿个服务器被黑了
这怪不得云厂商
salmon5
2023-02-22 19:09:10 +08:00
自己云的安全控制没弄好
Cmdhelp
2023-02-22 19:16:34 +08:00
保持 最小权限

你这敞开大门。
chenqh
2023-02-22 19:16:43 +08:00
redis 不公网访问也会有这个问题吗?
chenqh
2023-02-22 19:23:30 +08:00
@salmon5 mongo 还是恶心啊,居然用 27017 这个端口,他就不能 8000 以下的端口吗
Features
2023-02-22 20:47:22 +08:00
这种一般是你代码里面有病毒,下代码的时候小心一点
starxin79
2023-02-22 21:31:00 +08:00
感觉现在放在互联网上的机器,每时每刻都在受到扫描。一旦有个弱口令,很快就会被挖矿或者勒索。。。
documentzhangx66
2023-02-22 21:49:25 +08:00
1.这种云服务器,SSH 需要用强密码 + fail2ban ,SSH 与 开放公网的业务端口,需要使用 IP 白名单来限制访问者的地理区域。

2.数据库的端口不能开公网,需要使用防火墙,只允许本机访问,数据库密码倒是不需要强密码,因为如果机器被黑,数据库密码强不强都无所谓了。

3.重要数据,做好每日远程备份。
R0n1n
2023-02-22 22:21:44 +08:00
自己没有安全意识的话,用什么云服务器都一样。安全和方便总是背道而驰的,图用着方便,设置弱口令、开放 root/纯密码登录、防火墙全关、数据库直接开放给公网等操作,给自己带来方便的同时也给攻击者带去方便。公网不像家庭网络还有 ISP 的 NAT 给你套了层"防护",脚本小子和恶意扫描太多了。
churchmice
2023-02-23 01:08:38 +08:00
没事别用 root 跑,我对于这种东西都用 daemon 账号跑,被入侵了也问题不大
现在网上一堆一键脚本全是用 root 在干活

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/918185

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX