V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
selfcreditgiving
V2EX  ›  分享发现

阿里云越来越离谱了

  •  
  •   selfcreditgiving · 2021-11-17 02:57:17 +08:00 · 5570 次点击
    这是一个创建于 1101 天前的主题,其中的信息可能已经有所发展或是发生改变。

    半夜给我发个什么鬼安全告警的短信,竟然直接报 frps 是病毒了。

    为了谨慎,我把我服务器上的 frps 和 github 上同版本的 frps 文件的 MD5 比了一下,都是一模一样的。
    可以确定不是被窜改过的病毒文件。

    为什么说“越”?之前一直给我报服务器上发现了挖矿程序,进程名叫什么 yespower ,我密码都用了很强的,而且 ssh 端口也改了,按道理不可能被爆破的。我一直怀疑是阿里云自己植入的挖矿程序,因为它弹出了一个有挖矿程序的安全告警,让你知道有挖矿程序,但是你要查杀,得要买他们的安全服务包。

    26 条回复    2021-11-19 16:58:31 +08:00
    Zhouisme
        1
    Zhouisme  
       2021-11-17 03:27:59 +08:00 via Android
    把阿里监控程序删了吧
    wwbfred
        2
    wwbfred  
       2021-11-17 04:28:09 +08:00
    再强的密码也是不安全的,建议用密钥,实在不行也要开防爆破。
    尤其是你后面提的那个 yespower ,有可能自带保护机制的,比如登录 SSH 自动关闭,让你发现不了。
    selfcreditgiving
        3
    selfcreditgiving  
    OP
       2021-11-17 05:41:13 +08:00
    @wwbfred yespower 我每次都是手动 kill 掉了,不然 cpu 100%,之前杀完过一段时间又有了, 最近已经很久没有出现了
    norland
        4
    norland  
       2021-11-17 09:22:13 +08:00
    看盘内电影投屏,每十几分钟卡住,下载速度几十 K ,,,,,
    goodryb
        5
    goodryb  
       2021-11-17 09:22:15 +08:00
    “我密码都用了很强的,而且 ssh 端口也改了,按道理不可能被爆破的。” 为什么会有这种奇怪的认识,ssh 外网登录起码得用密钥且关闭密码登录

    另外都报挖矿程序了,手动 kill 只是治标,根治得好好排查,或者干脆重装系统
    imydou
        6
    imydou  
       2021-11-17 10:08:56 +08:00
    windows defender 也会杀 frp ,已经把 frp 目录加入白名单
    jackmod
        7
    jackmod  
       2021-11-17 10:10:12 +08:00 via Android
    这机器已经凉了,重装吧。
    ssh 改用普通用户强密码,平时 sudo 提权。
    禁 ssh 密码,仅密钥登入。
    开启防火墙,只开放业务端口和 vpn 端口。
    ssh 不对外开放,用 vpn 连入。
    40EaE5uJO3Xt1VVa
        8
    40EaE5uJO3Xt1VVa  
       2021-11-17 11:46:02 +08:00
    弄个堡垒机,所有的 VPS 仅允许堡垒机的 IP 登入。
    byte10
        9
    byte10  
       2021-11-17 14:15:48 +08:00
    @jackmod 好家伙,为啥他们不知道 vpn 呢,安装一个 docker ,再搞个 vpn 容器完事了,还要啥防火墙,裸奔都没问题。。主要还是太多菜鸟了,以前的公司那些运维也是这样的,蠢透了,基础安全常识都没有。

    @goodryb 改 ssh 端口有啥用,为啥那么人连基本常识都没有。。。好像改了别人就很难发现似的。。头大。

    任何连接外网的机器只要几个业务端口,其他一律走 VPN ,哪有那么多复杂的事情呀。
    gadfly3173
        10
    gadfly3173  
       2021-11-17 15:58:14 +08:00
    @selfcreditgiving #3 阿里云这个只是自动处理要付费,但是警告里是给了你启动命令的,你应该根据命令去排查被感染的文件。
    gadfly3173
        11
    gadfly3173  
       2021-11-17 16:00:24 +08:00
    之前 yapi 的漏洞也导致我的服务器被黑了,我的处理就是根据启动命令找到被注入的文件,然后排查 mongodb 里记录的任务并删除,还有关掉 yapi 的注册功能。
    perfectar
        12
    perfectar  
       2021-11-17 17:24:14 +08:00
    @byte10 大佬可否指导下 vpn 容器,有没有好的 git 求个链接?
    selfcreditgiving
        13
    selfcreditgiving  
    OP
       2021-11-17 17:35:34 +08:00
    现在是防外贼?还是防内贼?的问题。就看云服务器厂商底线在哪里了。

    说明一下,这个服务器公司有挺多业务数据正在上面跑的,如果被人恶意入侵,被勒索比特币应该是他们优先考虑的。而不是只单单植入一个挖矿程序。
    @wwbfred
    @goodryb
    @jackmod
    @yanzhiling2001
    @byte10
    @gadfly3173
    wwbfred
        14
    wwbfred  
       2021-11-17 19:38:40 +08:00
    @selfcreditgiving 我们只是提出我们的想法,如果我们遇到这个问题怎么做。我只能说,如果这是公司的服务器,我打死也不敢给公网开密码。
    你的猜测无法证伪,但同样也无法证明。你认为这是对的,那就是对的,你无需任何操作,骂服务商换服务商就好了。
    wwbfred
        15
    wwbfred  
       2021-11-17 19:40:03 +08:00
    @selfcreditgiving 另外如果这是公司的服务器,如果不是你一个人维护,你必须考虑内鬼的问题。
    gadfly3173
        16
    gadfly3173  
       2021-11-17 20:35:01 +08:00 via Android
    @selfcreditgiving 事实上绝大多数的入侵都是爆破和脚本小子,很少会有针对性的对你的业务进行入侵,所以挖矿和肉鸡比比特币勒索常见的多得多。
    byte10
        17
    byte10  
       2021-11-18 10:12:09 +08:00
    @perfectar 百度一下 docker openvpn, ,你多参考几条,或者参考这个 https://registry.hub.docker.com/r/kylemanna/openvpn 非常的简单方便,另外看一下路由的设置,https://www.xxshell.com/1760.html ,因为这个 openvpn 连接后,所有的路由都走 vpn 会有问题,百度那个搜索总是有访问问题。。其他还好。

    @selfcreditgiving 不用看云厂商的底线,机器都在别人手上的,还有啥需要你防的,你防得了吗?如果有大量的机器的,那确实需要内网的防火墙隔离看来。如果你自己玩的话,放心就好了,内网是安全的,都隔离开的。思考问题要从简单出发,用 vpn (连接 ssh )就是最好的方案,没有之一,记住是没有之一,你听话就好了。
    neowong2005
        18
    neowong2005  
       2021-11-18 13:43:53 +08:00 via Android
    @byte10 试试 wireguard
    byte10
        19
    byte10  
       2021-11-18 14:14:22 +08:00
    @neowong2005 好的,学习下 wireguard 。当前 openvpn 也挺方便,容器化部署,配置流程我也记录下来了,一般 2 分钟搞定。
    wwbfred
        20
    wwbfred  
       2021-11-18 17:51:54 +08:00 via iPhone
    结论来了,阿里云 ECS 服务被攻击了,植入挖矿程序。
    wwbfred
        21
    wwbfred  
       2021-11-18 17:54:02 +08:00 via iPhone
    本质是 ECS 默认 root ,和你的密码被试出来了。
    selfcreditgiving
        22
    selfcreditgiving  
    OP
       2021-11-19 11:11:25 +08:00
    @wwbfred 如果阿里云提示有挖矿程序,然后可以让我点击删除,而不是提示需要付费后才可以的话,我也是这么想的。

    @byte10 vpn 不是把当前网络都切换了嘛,如果要访问本地局域网里的设备又要断开 vpn
    wwbfred
        23
    wwbfred  
       2021-11-19 15:47:55 +08:00
    byte10
        24
    byte10  
       2021-11-19 16:25:53 +08:00
    @selfcreditgiving 不用的,openvpn 可以设置某些 ip 段经过路由。访问本地局域网或者互联网 可以选择不走 vpn 。一般 vpn 都支持设置路由的规则。
    imnpcheng
        25
    imnpcheng  
       2021-11-19 16:57:40 +08:00
    与 ssh 密码强度貌似关系不大,说不准你其他服务的问题。比如 redis 在线上裸奔
    imnpcheng
        26
    imnpcheng  
       2021-11-19 16:58:31 +08:00
    只开对外服务的端口,登陆采用 vpn
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1045 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 22:34 · PVG 06:34 · LAX 14:34 · JFK 17:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.