之前买了一台 1c2g 的阿里云服务器,上面使用 typecho 搭建了一个个人博客,大概写了有几篇。由于好久不用,上次想去博客里看看,发现访问不了,查询后发现数据库没了,然后有个 README 的库,进去发现有要转 btc 恢复数据勒索。后来想就几个博客算了,不要了。最近有在上面搭建了一个测试的程序,今天又发现被勒索了,然后还有恶意脚本。勒索: 您的数据库已删除。您必须支付 0.017 比特币 (BTC) 才能取回它们。我拥有的备份:tpecho, my_platform 。通过 [email protected] 与我联系 只有与付款相关的邮件才会得到答复 病毒脚本: /etc/crontab /etc/newinit.sh 部分内容: miner_url="http://45.83.123.29/cleanfda/zzh" miner_url_backup="http://en2an.top/cleanfda/zzh" miner_size="2269048" sh_url="http://45.83.123.29/cleanfda/newinit.sh" sh_url_backup="http://en2an.top/cleanfda/newinit.sh" chattr_size="8000"
1
blankmiss 2023-02-22 12:07:44 +08:00
不会是用了破解版的主题把
|
2
kilala2020 2023-02-22 12:23:21 +08:00
第一次被勒索后,重建系统了么?
|
3
mjVtb96d2bap2u3Z 2023-02-22 12:31:51 +08:00 11
为什么要强调“阿里云服务器”?关键是自己的安全没做好。
|
4
mifar 2023-02-22 12:31:52 +08:00
没 get 到一定要加一个阿里云的关键词是啥意思
|
5
yaott2020 2023-02-22 12:37:40 +08:00 via Android
建议自查一下:
1 防火墙开了没有,没用的端口是不是没开 2 ssh 是不是默认 root 登录 是不是没用私钥|证书登录 是不是没有 fail2ban 类似的防御机制 3 系统有没有什么不明可执行文件,包括不限于网上不知道哪里找的破解版,绿色版 4 查一下当前使用的软件是不是有什么已知高危漏洞,有没有修复更新 |
6
john2022 2023-02-22 12:40:08 +08:00
一般都是 redis 空密码然后开放端口。正常情况不会。我用了这么久都没遭过。
|
7
virusdefender 2023-02-22 12:59:15 +08:00
阿里云肯定给你发过安全告警,这些检测都是基本能力,除非你把 agent 给卸载了
|
8
yaoyao1128 2023-02-22 13:05:41 +08:00 via iPhone
大概率:弱口令 ssh or redis 无密码 /弱密码
|
9
des 2023-02-22 13:06:27 +08:00
|
10
teem 2023-02-22 13:07:01 +08:00
备份数据,系统重做。
这种勒索程序,一般程序挂程序,很难清理干净。 |
11
clf 2023-02-22 13:09:36 +08:00
不该开的端口不要开。真要跑一堆需要互联的服务建议端口白名单或者 docker 网络。
|
12
skip666 OP 准备重置系统,然后使用 docker 部署常用服务,mysql ,redis 密码都设置复杂点
|
13
abc0123xyz 2023-02-22 13:28:42 +08:00
端口只开 80 443
|
14
simau 2023-02-22 13:32:29 +08:00
这不是自己安全的问题吗?跟云厂商有什么关系?第一次中毒后就应该加强安全配置
|
15
xqk111 2023-02-22 13:38:58 +08:00
我一个没用的服务器,只开放了几个端口,ssh 是用证书登录的,没用启动任何服务。然后就突然被挖矿了,我感觉阿里云应该有问题。至今都很好奇,到底他们是怎么入侵的。
|
16
opengps 2023-02-22 13:40:17 +08:00
使用第三方的服务,往往容易有些通用的漏洞,看下日志就知道发布在公网的服务器被扫描了多少公共型路径
|
17
salmon5 2023-02-22 13:43:50 +08:00 4
为什么要强调“阿里云服务器”?自己菜别怪云厂商
|
18
timnottom 2023-02-22 14:01:33 +08:00
如果你观察过 nginx 日志,你会发现大堆的路径扫描的日志,这个同样 的道理;
随便找的: 152.89.196.211 - - [22/Feb/2023:13:39:20 +0800] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36" 89.248.163.213 - - [22/Feb/2023:13:49:16 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00" 400 157 "-" "-" 152.89.196.211 - - [22/Feb/2023:13:57:51 +0800] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36" |
20
xiaotuzi 2023-02-22 14:40:30 +08:00
好像是数据库漏洞,不要用 3306 ,换掉端口。
|
21
koloonps 2023-02-22 15:01:17 +08:00
@xqk111 openssl 是需要更新的,我之前的公司 openssl 没有更新服务器被攻击直接就无法访问了,重启之后都无法启动了
|
22
dongtingyue 2023-02-22 15:17:06 +08:00
|
24
sabermiao 2023-02-22 16:23:53 +08:00
typecho 用的什么版本,这个老版本也有反序列化漏洞
|
25
dolphintwo 2023-02-22 16:48:51 +08:00
人不行怪路不平
|
26
proxychains 2023-02-22 17:06:27 +08:00
自己不会玩怪厂商?
|
27
skip666 OP 这里没有怪服务商的原因,只是发文说下这个扫描端口的也太快了,第一次 typecho 数据库被劫持,应该数据库密码太简单被扫描破解的。这次是刚装了个 redis ,没设密码,然后几个小时内就把挖矿脚本搞进来了,数据库也被清除了。服务器当时买的就是测试学习用的,也就偶尔用下,没碰到过这种中毒勒索。
|
28
Ritter 2023-02-22 18:05:08 +08:00 2
楼上都是阿里云的分销商么 OP 只是阐述经过而已 有必要这么激动么
|
30
idragonet 2023-02-22 18:45:53 +08:00
Linux ?还是 WIN?
|
31
salmon5 2023-02-22 19:06:55 +08:00
@Ritter #28 ,不是分销商,是太多这种案例了,我都碰到几次,今儿个 mongo 被加密了,明儿个服务器被黑了
这怪不得云厂商 |
32
salmon5 2023-02-22 19:09:10 +08:00
自己云的安全控制没弄好
|
33
Cmdhelp 2023-02-22 19:16:34 +08:00
保持 最小权限
你这敞开大门。 |
34
chenqh 2023-02-22 19:16:43 +08:00
redis 不公网访问也会有这个问题吗?
|
36
Features 2023-02-22 20:47:22 +08:00
这种一般是你代码里面有病毒,下代码的时候小心一点
|
37
starxin79 2023-02-22 21:31:00 +08:00
感觉现在放在互联网上的机器,每时每刻都在受到扫描。一旦有个弱口令,很快就会被挖矿或者勒索。。。
|
38
documentzhangx66 2023-02-22 21:49:25 +08:00
1.这种云服务器,SSH 需要用强密码 + fail2ban ,SSH 与 开放公网的业务端口,需要使用 IP 白名单来限制访问者的地理区域。
2.数据库的端口不能开公网,需要使用防火墙,只允许本机访问,数据库密码倒是不需要强密码,因为如果机器被黑,数据库密码强不强都无所谓了。 3.重要数据,做好每日远程备份。 |
39
R0n1n 2023-02-22 22:21:44 +08:00 via Android
自己没有安全意识的话,用什么云服务器都一样。安全和方便总是背道而驰的,图用着方便,设置弱口令、开放 root/纯密码登录、防火墙全关、数据库直接开放给公网等操作,给自己带来方便的同时也给攻击者带去方便。公网不像家庭网络还有 ISP 的 NAT 给你套了层"防护",脚本小子和恶意扫描太多了。
|
40
churchmice 2023-02-23 01:08:38 +08:00 via Android
没事别用 root 跑,我对于这种东西都用 daemon 账号跑,被入侵了也问题不大
现在网上一堆一键脚本全是用 root 在干活 |
41
byasm32 2023-02-23 08:45:29 +08:00
中国电信宽带接入的家用机第 x 次中木马被勒索了[狗头]
|
42
loginv2 2023-02-23 10:07:33 +08:00
先不说云,光是自己家的公网 IP ,我已经主动屏蔽外国的 IP 了。扫描真是让人头大
|
43
ciki 2023-02-23 14:31:45 +08:00
之前不小心开过 redis 端口,第二天就被满 cpu 挖矿了,直接还原备份
|
44
HongyuGao 2023-02-25 21:51:08 +08:00
我也被搞了,不过只是测试用的,全是空表一点数据都没有
|