V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skip666
V2EX  ›  程序员

阿里云服务器第二次中毒被勒索了

  •  
  •   skip666 · 2023-02-22 11:28:46 +08:00 · 5590 次点击
    这是一个创建于 639 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前买了一台 1c2g 的阿里云服务器,上面使用 typecho 搭建了一个个人博客,大概写了有几篇。由于好久不用,上次想去博客里看看,发现访问不了,查询后发现数据库没了,然后有个 README 的库,进去发现有要转 btc 恢复数据勒索。后来想就几个博客算了,不要了。最近有在上面搭建了一个测试的程序,今天又发现被勒索了,然后还有恶意脚本。勒索: 您的数据库已删除。您必须支付 0.017 比特币 (BTC) 才能取回它们。我拥有的备份:tpecho, my_platform 。通过 [email protected] 与我联系 只有与付款相关的邮件才会得到答复 病毒脚本: /etc/crontab /etc/newinit.sh 部分内容: miner_url="http://45.83.123.29/cleanfda/zzh" miner_url_backup="http://en2an.top/cleanfda/zzh" miner_size="2269048" sh_url="http://45.83.123.29/cleanfda/newinit.sh" sh_url_backup="http://en2an.top/cleanfda/newinit.sh" chattr_size="8000"

    44 条回复    2023-02-25 21:51:08 +08:00
    blankmiss
        1
    blankmiss  
       2023-02-22 12:07:44 +08:00
    不会是用了破解版的主题把
    kilala2020
        2
    kilala2020  
       2023-02-22 12:23:21 +08:00
    第一次被勒索后,重建系统了么?
    mjVtb96d2bap2u3Z
        3
    mjVtb96d2bap2u3Z  
       2023-02-22 12:31:51 +08:00   ❤️ 11
    为什么要强调“阿里云服务器”?关键是自己的安全没做好。
    mifar
        4
    mifar  
       2023-02-22 12:31:52 +08:00
    没 get 到一定要加一个阿里云的关键词是啥意思
    yaott2020
        5
    yaott2020  
       2023-02-22 12:37:40 +08:00 via Android
    建议自查一下:

    1 防火墙开了没有,没用的端口是不是没开

    2 ssh 是不是默认 root 登录 是不是没用私钥|证书登录 是不是没有 fail2ban 类似的防御机制

    3 系统有没有什么不明可执行文件,包括不限于网上不知道哪里找的破解版,绿色版

    4 查一下当前使用的软件是不是有什么已知高危漏洞,有没有修复更新
    john2022
        6
    john2022  
       2023-02-22 12:40:08 +08:00
    一般都是 redis 空密码然后开放端口。正常情况不会。我用了这么久都没遭过。
    virusdefender
        7
    virusdefender  
       2023-02-22 12:59:15 +08:00
    阿里云肯定给你发过安全告警,这些检测都是基本能力,除非你把 agent 给卸载了
    yaoyao1128
        8
    yaoyao1128  
       2023-02-22 13:05:41 +08:00 via iPhone
    大概率:弱口令 ssh or redis 无密码 /弱密码
    des
        9
    des  
       2023-02-22 13:06:27 +08:00
    teem
        10
    teem  
       2023-02-22 13:07:01 +08:00
    备份数据,系统重做。
    这种勒索程序,一般程序挂程序,很难清理干净。
    clf
        11
    clf  
       2023-02-22 13:09:36 +08:00
    不该开的端口不要开。真要跑一堆需要互联的服务建议端口白名单或者 docker 网络。
    skip666
        12
    skip666  
    OP
       2023-02-22 13:20:11 +08:00
    准备重置系统,然后使用 docker 部署常用服务,mysql ,redis 密码都设置复杂点
    abc0123xyz
        13
    abc0123xyz  
       2023-02-22 13:28:42 +08:00
    端口只开 80 443
    simau
        14
    simau  
       2023-02-22 13:32:29 +08:00
    这不是自己安全的问题吗?跟云厂商有什么关系?第一次中毒后就应该加强安全配置
    xqk111
        15
    xqk111  
       2023-02-22 13:38:58 +08:00
    我一个没用的服务器,只开放了几个端口,ssh 是用证书登录的,没用启动任何服务。然后就突然被挖矿了,我感觉阿里云应该有问题。至今都很好奇,到底他们是怎么入侵的。
    opengps
        16
    opengps  
       2023-02-22 13:40:17 +08:00
    使用第三方的服务,往往容易有些通用的漏洞,看下日志就知道发布在公网的服务器被扫描了多少公共型路径
    salmon5
        17
    salmon5  
       2023-02-22 13:43:50 +08:00   ❤️ 4
    为什么要强调“阿里云服务器”?自己菜别怪云厂商
    timnottom
        18
    timnottom  
       2023-02-22 14:01:33 +08:00
    如果你观察过 nginx 日志,你会发现大堆的路径扫描的日志,这个同样 的道理;

    随便找的:

    152.89.196.211 - - [22/Feb/2023:13:39:20 +0800] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
    89.248.163.213 - - [22/Feb/2023:13:49:16 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00" 400 157 "-" "-"
    152.89.196.211 - - [22/Feb/2023:13:57:51 +0800] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
    timnottom
        19
    timnottom  
       2023-02-22 14:02:18 +08:00
    @timnottom 我想说的是,网上大堆扫描脚本,专门干这种事
    xiaotuzi
        20
    xiaotuzi  
       2023-02-22 14:40:30 +08:00
    好像是数据库漏洞,不要用 3306 ,换掉端口。
    koloonps
        21
    koloonps  
       2023-02-22 15:01:17 +08:00
    @xqk111 openssl 是需要更新的,我之前的公司 openssl 没有更新服务器被攻击直接就无法访问了,重启之后都无法启动了
    dongtingyue
        22
    dongtingyue  
       2023-02-22 15:17:06 +08:00
    vps 部署脚本
    https://github.com/zarte/vps_deploy
    默认不关 firewall ,后续需要的端口再手动添加允许。
    lingeo
        23
    lingeo  
       2023-02-22 16:16:55 +08:00
    @skip666 你直接把数据库端口关了不行吗?数据库只允许本地访问,然后开发需要连接数据库走 shell 连接。
    sabermiao
        24
    sabermiao  
       2023-02-22 16:23:53 +08:00
    typecho 用的什么版本,这个老版本也有反序列化漏洞
    dolphintwo
        25
    dolphintwo  
       2023-02-22 16:48:51 +08:00
    人不行怪路不平
    proxychains
        26
    proxychains  
       2023-02-22 17:06:27 +08:00
    自己不会玩怪厂商?
    skip666
        27
    skip666  
    OP
       2023-02-22 17:23:37 +08:00
    这里没有怪服务商的原因,只是发文说下这个扫描端口的也太快了,第一次 typecho 数据库被劫持,应该数据库密码太简单被扫描破解的。这次是刚装了个 redis ,没设密码,然后几个小时内就把挖矿脚本搞进来了,数据库也被清除了。服务器当时买的就是测试学习用的,也就偶尔用下,没碰到过这种中毒勒索。
    Ritter
        28
    Ritter  
       2023-02-22 18:05:08 +08:00   ❤️ 2
    楼上都是阿里云的分销商么 OP 只是阐述经过而已 有必要这么激动么
    swulling
        29
    swulling  
       2023-02-22 18:07:18 +08:00
    @skip666 为啥要把数据库和 redis 的端口往公网开放?
    idragonet
        30
    idragonet  
       2023-02-22 18:45:53 +08:00
    Linux ?还是 WIN?
    salmon5
        31
    salmon5  
       2023-02-22 19:06:55 +08:00
    @Ritter #28 ,不是分销商,是太多这种案例了,我都碰到几次,今儿个 mongo 被加密了,明儿个服务器被黑了
    这怪不得云厂商
    salmon5
        32
    salmon5  
       2023-02-22 19:09:10 +08:00
    自己云的安全控制没弄好
    Cmdhelp
        33
    Cmdhelp  
       2023-02-22 19:16:34 +08:00
    保持 最小权限

    你这敞开大门。
    chenqh
        34
    chenqh  
       2023-02-22 19:16:43 +08:00
    redis 不公网访问也会有这个问题吗?
    chenqh
        35
    chenqh  
       2023-02-22 19:23:30 +08:00
    @salmon5 mongo 还是恶心啊,居然用 27017 这个端口,他就不能 8000 以下的端口吗
    Features
        36
    Features  
       2023-02-22 20:47:22 +08:00
    这种一般是你代码里面有病毒,下代码的时候小心一点
    starxin79
        37
    starxin79  
       2023-02-22 21:31:00 +08:00
    感觉现在放在互联网上的机器,每时每刻都在受到扫描。一旦有个弱口令,很快就会被挖矿或者勒索。。。
    documentzhangx66
        38
    documentzhangx66  
       2023-02-22 21:49:25 +08:00
    1.这种云服务器,SSH 需要用强密码 + fail2ban ,SSH 与 开放公网的业务端口,需要使用 IP 白名单来限制访问者的地理区域。

    2.数据库的端口不能开公网,需要使用防火墙,只允许本机访问,数据库密码倒是不需要强密码,因为如果机器被黑,数据库密码强不强都无所谓了。

    3.重要数据,做好每日远程备份。
    R0n1n
        39
    R0n1n  
       2023-02-22 22:21:44 +08:00 via Android
    自己没有安全意识的话,用什么云服务器都一样。安全和方便总是背道而驰的,图用着方便,设置弱口令、开放 root/纯密码登录、防火墙全关、数据库直接开放给公网等操作,给自己带来方便的同时也给攻击者带去方便。公网不像家庭网络还有 ISP 的 NAT 给你套了层"防护",脚本小子和恶意扫描太多了。
    churchmice
        40
    churchmice  
       2023-02-23 01:08:38 +08:00 via Android
    没事别用 root 跑,我对于这种东西都用 daemon 账号跑,被入侵了也问题不大
    现在网上一堆一键脚本全是用 root 在干活
    byasm32
        41
    byasm32  
       2023-02-23 08:45:29 +08:00
    中国电信宽带接入的家用机第 x 次中木马被勒索了[狗头]
    loginv2
        42
    loginv2  
       2023-02-23 10:07:33 +08:00
    先不说云,光是自己家的公网 IP ,我已经主动屏蔽外国的 IP 了。扫描真是让人头大
    ciki
        43
    ciki  
       2023-02-23 14:31:45 +08:00
    之前不小心开过 redis 端口,第二天就被满 cpu 挖矿了,直接还原备份
    HongyuGao
        44
    HongyuGao  
       2023-02-25 21:51:08 +08:00
    我也被搞了,不过只是测试用的,全是空表一点数据都没有
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5697 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 06:12 · PVG 14:12 · LAX 22:12 · JFK 01:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.