V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
hyperdak
V2EX  ›  云计算

发个帖求助下,阿里云服务器被勒索

  •  
  •   hyperdak · 2016-04-18 10:49:33 +08:00 · 15086 次点击
    这是一个创建于 3148 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天发现服务器连接不上 今天去阿里云看了下,发现居然被停止了,手动启动了一下,登陆服务器就发现了Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!这个东西

    http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq

    这个东西勒索 3BTC

    另外阿里云的策略简直可怕,以前开了自动快照的,发现被黑的时候我还觉得无所谓,反正有快照,结果一去看快照,数量居然是 0.

    提了个工单,告诉我,新快照系统还的再次设置,以前设置好的快照策略居然就直接下线了。

    第 1 条附言  ·  2016-04-18 15:47:13 +08:00
    问题确认是 redis 出现的

    redis 默认配置会 bind 0.0.0.0 而且没密码设置

    相关的问题见这个博客:
    http://my.oschina.net/lenglingx/blog/532185

    我原本安装 redis 的时候也知道 redis 的 bind 设置,但是因为没有正式使用 redis ,所以也没有修改以及加密,这个 redis 每次就是测试用(就算数据被删除了也无所谓)。结果想不到 redis 还有这种的漏洞。

    又 google 了一下,这个漏洞最早已经是 2015-11 的时候爆出来了。
    提示一下大家注意
    102 条回复    2016-05-01 12:31:18 +08:00
    1  2  
    just4test
        1
    just4test  
       2016-04-18 10:56:08 +08:00
    数据不重要就重装吧
    kozora
        2
    kozora  
       2016-04-18 10:56:12 +08:00
    1.养成备份的习惯
    2.时常关注服务商的动态
    3.做好服务器防护
    ifconfig
        3
    ifconfig  
       2016-04-18 10:59:14 +08:00 via iPhone
    有没有被清空操作记录或者什么日志之类的,看看是怎么黑的,关注中……
    hyperdak
        4
    hyperdak  
    OP
       2016-04-18 11:02:00 +08:00
    备注这个的话,以前是开了快照的,谁知道他居然会上线新快照以后,然后阿里云居然还把它给下线了。
    history 查看 命令都没有被改动过,命令还是我自己之前用过的
    azh7138m
        5
    azh7138m  
       2016-04-18 11:03:49 +08:00 via Android
    快照策略更改发过邮件通知了(・・;)
    同好奇怎么被黑的
    49
        6
    49  
       2016-04-18 11:04:13 +08:00 via iPhone   ❤️ 20
    楼主准备好了一千万了吗?
    peter999
        7
    peter999  
       2016-04-18 11:05:23 +08:00
    阿里云新快照上线时短信发过通知,里面告知了旧快照下线,新快照需要手动设置
    benbenzhangqi
        8
    benbenzhangqi  
       2016-04-18 11:05:30 +08:00
    还是自己手动连接比较靠谱 一个星期备份一次 习惯就好
    Bardon
        9
    Bardon  
       2016-04-18 11:09:55 +08:00
    所以,你 shell 也登陆不了了? db 被加密吗?还是个什么情况?
    arfaWong
        10
    arfaWong  
       2016-04-18 11:10:14 +08:00   ❤️ 3
    评论阿里要先去银行取 1000w 现金 : )
    tangzhehao
        11
    tangzhehao  
       2016-04-18 11:11:54 +08:00
    好奇怎么黑的?
    看完我就赶紧去设置快照策略去了。
    dommyet
        12
    dommyet  
       2016-04-18 11:15:38 +08:00
    这玩意居然蔓延到 VPS 上了啊 上一次听说这个还只是某品牌 NAS 有 0day 然后被批量扫描利用了 在后台隐蔽加密全盘后勒索用户 收到款项后还会自动解密
    dongyado
        13
    dongyado  
       2016-04-18 11:16:09 +08:00
    快照没了,不支付 btc 基本是拿不回来了,倒不如仔细研究一下怎么被黑的
    zealic
        14
    zealic  
       2016-04-18 11:24:21 +08:00
    没有一千万不敢说话;

    楼主记住:不要用云里阿。
    hyperdak
        15
    hyperdak  
    OP
       2016-04-18 11:25:15 +08:00
    @Bardon shell 能登陆
    数据库文件都被拿走了,现在剩下的是一个 test 数据库和 mysql 数据库,然后其他都没有了
    AntonChen
        16
    AntonChen  
       2016-04-18 11:25:16 +08:00
    最近发帖评论阿里的都是土豪,一帖一千万
    hyperdak
        17
    hyperdak  
    OP
       2016-04-18 11:26:00 +08:00
    @peter999
    @azh7138m
    那应该是我的锅了,账号的手机之前绑到另外一个同事的手机上。。
    Bardon
        18
    Bardon  
       2016-04-18 11:29:18 +08:00
    @hyperdak 那没用了,就算支付 3btc ,也不保险
    db 还是不要跟业务 vps 在一起啊,如果小型 vps ,备份一定要的。
    dapang1221
        19
    dapang1221  
       2016-04-18 11:30:57 +08:00
    去找阿里客服喷一波,要是万一阿里云自己有自己的容灾备份呢……
    murmur
        20
    murmur  
       2016-04-18 11:42:24 +08:00
    阿里云不是每周都有自动镜像吗 回滚一个就好了
    qq5745965425
        21
    qq5745965425  
       2016-04-18 11:46:20 +08:00
    评论阿里要先去银行取 1000w 现金 : )
    qq5745965425
        22
    qq5745965425  
       2016-04-18 11:46:34 +08:00
    楼主准备好一千万了吗
    chousb
        23
    chousb  
       2016-04-18 11:48:19 +08:00
    没有一千万不敢说话
    ixinshang
        24
    ixinshang  
       2016-04-18 11:48:22 +08:00
    持续关注
    Cu635
        25
    Cu635  
       2016-04-18 11:48:39 +08:00
    。。。用阿里云,给自己找一个流氓混混作爹,这不就是活该么……
    songjiaxin2008
        26
    songjiaxin2008  
       2016-04-18 11:49:34 +08:00 via iPhone
    没有一千万并不敢大声说话
    russj
        27
    russj  
       2016-04-18 11:51:18 +08:00
    一千万是怎么回事?
    Coxxs
        28
    Coxxs  
       2016-04-18 11:59:07 +08:00   ❤️ 2
    ( 5 分)假设该帖层主花费 3 BTC 找回了数据,并向阿里云道歉,请问最终需花费多少钱?
    yangzj1992
        29
    yangzj1992  
       2016-04-18 11:59:22 +08:00
    没有一千万..不敢评论啊..
    irainsoft
        30
    irainsoft  
       2016-04-18 11:59:23 +08:00 via Android
    没有 1000 万你也敢说阿里的不是
    就是用户的锅 (滑稽
    lidonghao
        31
    lidonghao  
       2016-04-18 11:59:40 +08:00
    楼主准备好一千万了吗
    moejiajia
        32
    moejiajia  
       2016-04-18 12:00:59 +08:00
    入侵者怎么不顺便勒索个 1000 万 (眼斜
    Shura
        33
    Shura  
       2016-04-18 12:01:03 +08:00 via Android
    楼主啊,阿里明明发过通知邮件的,快去找高利贷借一千万吧
    Shura
        34
    Shura  
       2016-04-18 12:01:34 +08:00 via Android   ❤️ 3
    @Coxxs 一千万加三比特币
    hpeng
        35
    hpeng  
       2016-04-18 12:12:37 +08:00 via iPhone
    去试下问阿里云客服,万一有容灾。
    icybee
        36
    icybee  
       2016-04-18 12:19:39 +08:00
    我也发现了,快照策略下线了。。。阿里一个通知都没有。。。
    gzelvis
        37
    gzelvis  
       2016-04-18 12:25:00 +08:00
    没有一千万,以后不敢说阿里的东西了
    acrisliu
        38
    acrisliu  
       2016-04-18 12:26:25 +08:00
    吓我一跳,看到标题我还以为楼主说自己的阿里云服务器被阿里勒索了 (大雾
    BOOM
        39
    BOOM  
       2016-04-18 12:26:43 +08:00 via Android
    @arfaWong 1 千万什么梗?
    eirk2004
        40
    eirk2004  
       2016-04-18 12:30:00 +08:00
    @dongyado 99%是骗子,付了钱也拿不到数据
    redtea
        41
    redtea  
       2016-04-18 12:31:07 +08:00
    没有 1000 万也敢抱怨阿里?
    Tink
        42
    Tink  
       2016-04-18 12:31:19 +08:00 via iPhone
    没 1000w 现在都不敢说话
    Slienc7
        43
    Slienc7  
       2016-04-18 12:34:19 +08:00
    @eirk2004 我见过的基本都能拿到;还没见到谁说给了钱没能拿到数据的; 99% 是哪里来的数据?
    feather12315
        44
    feather12315  
       2016-04-18 12:36:48 +08:00 via Android
    楼主小心阿里高你诽谤,索赔一千万
    hyperdak
        45
    hyperdak  
    OP
       2016-04-18 12:37:49 +08:00
    @icybee 后来看了下,有通知的,只不过之前阿里云的账号绑到另外一个同事上面了,然后就被坑了
    hyperdak
        46
    hyperdak  
    OP
       2016-04-18 12:40:28 +08:00
    :) 最后想想好像只能老实交钱了,有之前见过这种案例的同学能说一下怎么付钱么
    huobazi
        47
    huobazi  
       2016-04-18 12:44:57 +08:00
    一千万啊一千万哦,楼主平安!
    anoymoux
        48
    anoymoux  
       2016-04-18 12:45:17 +08:00
    别再拿 1000w 的梗来秀下限了,“造谣”和“黑” 是两码事
    pupboss
        49
    pupboss  
       2016-04-18 12:49:52 +08:00
    我靠!!!阿里云的快照怎么没了,完全没通知啊
    wupher
        50
    wupher  
       2016-04-18 12:49:57 +08:00
    没 1000 万不敢评论啊。

    话说对方也没说你交了 3BTC ,就把文件还给你。要不 3BTC 倒不贵。(如果不是一个文件 3BTC )
    pupboss
        51
    pupboss  
       2016-04-18 12:53:40 +08:00
    你可以写个脚本,每天自动备份重要数据到七牛,我现在是这么个做法,还算安逸
    shoaly
        52
    shoaly  
       2016-04-18 12:55:57 +08:00
    感谢楼主的悲剧, 我也发现快照失效了
    hyperdak
        53
    hyperdak  
    OP
       2016-04-18 13:02:39 +08:00
    @pupboss 本来以前有个办公室的自动备份,后来发现快照系统挺好用,就用上了,办公室的自动备份就停止了。之前还用快照恢复过一次数据,感觉稳定,结果这次。。
    loweila
        54
    loweila  
       2016-04-18 13:31:26 +08:00
    意思说有了 1000 万就可以造谣了?
    saturnast
        55
    saturnast  
       2016-04-18 13:41:37 +08:00
    楼上这逻辑理解能力...
    lansexinyu
        56
    lansexinyu  
       2016-04-18 13:43:03 +08:00
    没看到 1000W 是什么鬼!
    babytomas
        57
    babytomas  
       2016-04-18 13:45:32 +08:00
    @pupboss

    备份到七牛?用的 API 吗?

    是 Python 写的?
    badcode
        58
    badcode  
       2016-04-18 13:46:44 +08:00 via iPhone
    备份的重要性
    frankwei
        59
    frankwei  
       2016-04-18 13:52:17 +08:00
    没有一千万的我并不敢大声说话
    ifconfig
        60
    ifconfig  
       2016-04-18 13:57:14 +08:00
    阿里员工出来走两步?
    Marser
        61
    Marser  
       2016-04-18 14:17:18 +08:00
    一千万准备好了么?亲
    yeqiu
        62
    yeqiu  
       2016-04-18 14:27:58 +08:00
    这种事,阿里云没有责任么?服务器提供商难道没有责任保护服务器不受攻击么?

    疑问句,不是反问句!
    laukwanchan
        63
    laukwanchan  
       2016-04-18 14:31:59 +08:00
    楼上回复的朋友们你们准备好 1000W 了没?反正我没有,我也不说云里阿。

    仅仅安慰楼主:以后要养成定期备份的习惯,以及要随时监控服务器状态的反馈。
    XuanYuan
        64
    XuanYuan  
       2016-04-18 15:00:31 +08:00
    1 、准备好比特币,参见我的经历:/t/146340
    2 、准备好 1000 万……
    jiziya
        65
    jiziya  
       2016-04-18 15:13:20 +08:00
    之前我的也被黑了,后来恢复过几次快照,然而并没有什么卵用,然后。。。就重装系统了。

    分析被盗的原因,可能有几点:
    1. 一直是 root 密码登录;
    2. 下载过乱七八糟自己也不知道到底什么用的脚本,本来是想尝试自签 let 证书的,唉。
    pupboss
        66
    pupboss  
       2016-04-18 15:27:19 +08:00 via iPhone
    @hyperdak
    @babytomas
    七牛官方提供一个可执行的二进制文件,然后我是用 bash 打包,再调用这个二进制文件实现备份和过期文件删除
    wh0syourda66y
        67
    wh0syourda66y  
       2016-04-18 15:28:43 +08:00
    没有一千万憋说话
    aliyun123
        68
    aliyun123  
       2016-04-18 15:36:54 +08:00
    楼主您好,服务器问题如电话沟通,建议您先检查服务器的应用是否存在安全漏洞,如有漏洞问题请尽快及时修复,以免造成不必要的损失!阿里云的安全产品可以将安全问题防患于未然,针对您出现的这个问题,可以使用服务器安全托管服务,请参考 https://www.aliyun.com/product/mss/;关于快照的问题我们在 3.15 号上线了 ECS 快照 2.0 服务,旧的快照策略下线前我们已经邮件和短信通知您,需要您到 ECS 控制台设置快照 2.0 的自动快照策略,快照 2.0 服务的自动快照才能自动执行,具体可以参考: https://help.aliyun.com/noticelist/articleid/13075669.html?spm=5176.789004749.n2.7.gUDuIe
    hicdn
        69
    hicdn  
       2016-04-18 15:44:08 +08:00
    楼主准备好一千万了吗
    hyperdak
        70
    hyperdak  
    OP
       2016-04-18 15:44:33 +08:00
    @XuanYuan 这边准备购买 BTC 了,请问一下,这种情况,我支付了 btc 之后,那边黑客会如何和我联系?

    我查看了一下他的 address ,今天已经收到了一笔 3BTC 了,他如何确认是哪个服务器的所有人支付的?

    给那边提供的邮箱发了 email ,也不见回复我。
    evitceted
        71
    evitceted  
       2016-04-18 15:48:25 +08:00
    目测楼主有钱
    ThreeBody
        72
    ThreeBody  
       2016-04-18 15:57:45 +08:00 via Android
    @aliyun123 这个客服在说废话?说了跟没说一样
    pimin
        73
    pimin  
       2016-04-18 16:09:11 +08:00 via iPhone   ❤️ 3
    3BTC VS 1000w ¥
    问:谁是强盗?
    hyperdak
        74
    hyperdak  
    OP
       2016-04-18 16:12:04 +08:00
    @ThreeBody 这个客服倒不是说废话,和我电话联系过了,然后帮我排查了一些问题,但是数据那边的删除就没痕迹了。也是他们帮我确认的是 redis 的漏洞问题。

    = =我这现在正在焦头烂额准备买 BTC ,但是又担心数据的恢复问题。
    ThreeBody
        75
    ThreeBody  
       2016-04-18 16:43:13 +08:00 via Android
    @hyperdak 他在电话可能给你解决,但是我第一次看这个帖子,这个回复只是安全提醒类型,事前说的才有用
    congeec
        76
    congeec  
       2016-04-18 16:50:58 +08:00
    @ifconfig
    @azh7138m
    @tangzhehao
    以前有 zmap 的时候就可行了,现在有更先进的 masscan
    直接扫描开 redis 机器,扫到了尝试一下呗
    xifangczy
        77
    xifangczy  
       2016-04-18 17:10:06 +08:00
    才 3BTC 而已。。。要不然你就给 1000w
    Felldeadbird
        78
    Felldeadbird  
       2016-04-18 17:39:49 +08:00
    那么问题来了,我记得阿里云 不是有云盾么。怎么这个洞没发现出来?
    遥想上次公司搬服务器,里面有一个 ecshop 的程序(不会运行的)。阿里云马上发短信来说“亲,您的服务器有一个 ecshop 的安全漏洞”。。。
    tSQghkfhTtQt9mtd
        79
    tSQghkfhTtQt9mtd  
       2016-04-18 18:13:27 +08:00 via Android
    cpp255
        80
    cpp255  
       2016-04-18 19:19:29 +08:00
    1000W 今天占了 2 个热议了。
    XuanYuan
        81
    XuanYuan  
       2016-04-18 19:41:55 +08:00
    @hyperdak 我得回忆一下……
    genesislive
        82
    genesislive  
       2016-04-18 19:44:32 +08:00
    以上所有提到 1000w 的麻烦准备好 1000w
    incompatible
        83
    incompatible  
       2016-04-18 21:50:00 +08:00
    楼主,抛开阿里云和 redis 的漏洞不说,你最需要吸取的一个教训就是“不要用 root 账户登录、不要用 root 账户启动应用”。
    我曾经也中了 redis 这个 bug 的枪,万幸入侵者猜不到我的 ssh 用户名,所以它最终也没有登录进我的操作系统。
    hljjhb
        84
    hljjhb  
       2016-04-18 22:15:28 +08:00
    楼主真的是有钱,阿里云肯定是完美的 →_→
    misaka00251
        85
    misaka00251  
       2016-04-18 23:51:55 +08:00 via Android
    @Coxxs 叉大!
    konakona
        86
    konakona  
       2016-04-19 00:02:30 +08:00
    http://blog.crazyphper.com/?p=3799
    关于 REDIS 默认无密码这个问题,严重性还是蛮高的。
    lslqtz
        87
    lslqtz  
       2016-04-19 00:12:10 +08:00 via iPhone
    我用的 memcached 阿里云云盾有提示我不小心开放了。然后监听到 127 去了 QwQ
    tinyproxy
        88
    tinyproxy  
       2016-04-19 00:22:43 +08:00 via iPhone
    楼上那么多黑阿里的也够了吧,这个明显自己作死,命苦怨政府咯,当教训积累经验吧。
    lslqtz
        89
    lslqtz  
       2016-04-19 00:26:59 +08:00 via iPhone
    @moejiajia hhhh
    chinajik
        90
    chinajik  
       2016-04-19 10:30:43 +08:00
    这货估计整个内网的 redis 都扫了一遍, 我跟你一起中枪了...
    幸好开发机,格式化掉了,我还以为是 elastic 的 groovy 的提权漏洞...
    这下懂了
    xhat
        91
    xhat  
       2016-04-19 10:49:42 +08:00
    谢楼主提醒。吓的我赶紧把快照策略加上了。
    laiyingdong
        92
    laiyingdong  
       2016-04-19 11:01:28 +08:00 via Android
    勒索病毒 的服务器版 Windows PC 甚至 OS X 都有 服务器也有不奇怪吧。
    jadecoder
        93
    jadecoder  
       2016-04-19 11:02:16 +08:00   ❤️ 1
    @Felldeadbird 你这是在说阿里云扫描你硬盘数据啊
    你摊上事儿了
    chinajik
        94
    chinajik  
       2016-04-19 11:03:38 +08:00
    @jadecoder 哈哈, 1000W!
    jwangkun
        95
    jwangkun  
       2016-04-19 12:28:03 +08:00
    好嚣张啊
    lty494685444
        96
    lty494685444  
       2016-04-19 15:01:22 +08:00
    没有一千万还敢用阿里云
    techmoe
        97
    techmoe  
       2016-04-19 22:25:36 +08:00 via Android
    有什么重要数据吗。。
    wxlg1117
        98
    wxlg1117  
       2016-04-20 10:35:48 +08:00
    我也是测试环境中招了,一开始还给装了个挖比特币工具...还发现这个勒索信了:
    http://pastie.org/pastes/10798252/reply?key=hghqjtqxumoszqwgqon6jg
    realpg
        99
    realpg  
       2016-04-20 13:12:10 +08:00
    redis dump 恢复覆盖了 ssh 密钥吧……

    话说,基本上发生这个问题的都是 centos , ubuntu server 表示鸭梨不大……
    realpg
        100
    realpg  
       2016-04-20 13:14:11 +08:00
    卧槽没打完就发出去了
    生产服务器,还是找个专业运维吧,怎么说这种基础的常见漏洞天天摆弄服务器的人都知道。
    本质上这都不是漏洞
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2780 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 09:49 · PVG 17:49 · LAX 01:49 · JFK 04:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.