V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
saixx
V2EX  ›  Linux

阿里云被黑客入侵植入挖矿软件并修改了 ssh key

  •  
  •   saixx · 2020-08-13 21:25:30 +08:00 via Android · 6847 次点击
    这是一个创建于 1323 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Redis 没设置好被入侵修改了 crontab,现在有一个 khugepaged 的挖矿软件,黑客在我电脑上写入了 ssh key,我已经把服务器关了,现在怎么处理,服务器上有我自己的 hexo 博客,有没有大佬支支招
    36 条回复    2020-08-14 19:15:34 +08:00
    saixx
        1
    saixx  
    OP
       2020-08-13 21:26:54 +08:00 via Android   ❤️ 1
    如果要重装系统怎么把 hexo 数据迁移,我是 git 钩子同步到一个文件夹,然后用 nginx 解析的
    binggg
        2
    binggg  
       2020-08-13 21:29:00 +08:00
    Hexo 不是纯静态的么,有 Git 代码在就可以重新部署

    如果只是挂个 Hexo 博客,没必要搞个服务器,可以用云开发的静态托管
    fanyingmao
        3
    fanyingmao  
       2020-08-13 22:24:03 +08:00 via Android
    Redis 端口敢放出来估计一下就被入侵了。还有用 GitHub 之类的放博客省事,不然以后还要续费迁移什么的。
    lvming6816077
        4
    lvming6816077  
       2020-08-13 22:30:30 +08:00 via iPhone
    有同样经历,只不过我 mongodb 端口放出来了,然后被黑客删库了,好在有备份,查了下 ip 是一个德国的地址
    StarUDream
        5
    StarUDream  
       2020-08-13 22:36:05 +08:00 via Android
    阿里云可以安装云助手,可以远程执行命令,把你的公钥写入就行。
    webshe11
        6
    webshe11  
       2020-08-14 00:21:00 +08:00
    死因:redis
    喜闻乐见
    watzds
        7
    watzds  
       2020-08-14 02:44:20 +08:00 via Android
    16 年就见过,现在还有,好在当时 ssh 没退出
    levelworm
        8
    levelworm  
       2020-08-14 04:44:14 +08:00 via Android
    @webshe11 求问 redis 为什么容易造成这样的问题?
    RyuZheng
        9
    RyuZheng  
       2020-08-14 07:16:48 +08:00 via iPhone
    我搭了个 typecho 的博客,有人像倒垃圾一样用垃圾评论塞满我的数据库,问题是都 2019 年了,你有本事去黑大公司啊,或者黑个 VPS 我也不说啥了,我一个 php 小虚拟机,你塞满我那 200m 数据库,是能有什么成就感……
    而且我后来都换成 github page 了,看 Cloudflare 解析记录,那几个欧洲国家的访问还一直继续……
    renmu123
        10
    renmu123  
       2020-08-14 07:38:41 +08:00 via Android   ❤️ 1
    @levelworm Redis 默认没有密码
    PHPer233
        11
    PHPer233  
       2020-08-14 07:45:53 +08:00 via Android
    先保护案发现场,给虚拟机做个快照。然后备份资料和数据,最后重装系统。
    Netfix
        12
    Netfix  
       2020-08-14 07:51:37 +08:00   ❤️ 1
    @levelworm redis 默认没有密码,如果是管理员运行的,那么可以将公钥作为键值存储,在将文件刷到磁盘的.ssh 文件夹改个名就行了。
    opengps
        13
    opengps  
       2020-08-14 08:25:12 +08:00
    其实不是被黑客入侵,是被黑客程序入侵,这种挖矿病毒甚至是无人值守自动扫描漏洞入侵系统的

    反面想:挖矿还好,至少不是加密勒索,不是恶意破坏,备份出来可以尝试恢复出来自己的数据
    tankren
        14
    tankren  
       2020-08-14 08:33:07 +08:00
    @lvming6816077 #4 这种 IP 没意义 都是肉鸡
    zarte
        15
    zarte  
       2020-08-14 09:30:36 +08:00
    服务器 firewall 不开的么??
    Rwing
        16
    Rwing  
       2020-08-14 09:40:47 +08:00
    我用 docker 跑的 redis,没啥风险吧?
    qwerthhusn
        17
    qwerthhusn  
       2020-08-14 09:54:10 +08:00
    @Rwing 那得看运行容器有没有赋予 privileged 或者 cap-add
    cco
        18
    cco  
       2020-08-14 10:13:45 +08:00
    前年就是因为 redis 放开端口呗挖矿,所以最好是换端口,如果非要把端口放出来就加上密码吧。
    cco
        19
    cco  
       2020-08-14 10:14:18 +08:00
    @Rwing 我 docker 跑的就中过招。。。。所以你还是加个密码吧,另外端口也改了。
    watermelonman
        20
    watermelonman  
       2020-08-14 10:19:43 +08:00
    @Netfix 那是不是设置了密码 就会安全点?还是 端口都不开放?
    realpg
        21
    realpg  
       2020-08-14 10:57:17 +08:00
    你一定是用的 centos
    xuejianxianzun
        22
    xuejianxianzun  
       2020-08-14 11:10:51 +08:00
    我有个简单网站也用了 redis,我一开始就设置了密码 ,也修改了端口号,目前没啥问题
    rubytek
        23
    rubytek  
       2020-08-14 11:20:20 +08:00
    这种都是自动扫端口注入的,如果是企业使用阿里云,一定都要配置安全组策略,限制公网端口开放。个人的你就当吃个教训吧。
    lyi4ng
        24
    lyi4ng  
       2020-08-14 11:20:55 +08:00
    如果你只是想保留一下 hexo 的博客,建议直接挂 github 吧省事
    如果还想用阿里云的话,就把 hexo 的文件整个备份一下然后重装下云系统
    如过你连系统都不想重装就把 ssh key 删了,/etc/passwd 排查一下有没新帐号,redis 加密码,crontab 配置删了,挖矿守护进程杀了(有的话),挖矿进程杀了,挖矿马删了等等等等
    wfd0807
        25
    wfd0807  
       2020-08-14 11:22:05 +08:00
    用 docker,保护好宿主,容器随便造
    wangyzj
        26
    wangyzj  
       2020-08-14 12:04:06 +08:00
    redis bug 多年前就被干过
    挖矿算好的
    我那个被勒索
    直接关闭主机了
    Mutoo
        27
    Mutoo  
       2020-08-14 12:18:19 +08:00
    Redis 为啥不直接用 rds,要放在 ecs 上。
    swsh007
        28
    swsh007  
       2020-08-14 12:37:42 +08:00 via Android
    被挖矿的路过
    不知道咋弄的
    拿 htop 看 cpu 占用率发现总是 100%
    virusdefender
        29
    virusdefender  
       2020-08-14 15:06:40 +08:00
    不设置密码
    不开安全组
    不装安骑士
    v2yooha
        30
    v2yooha  
       2020-08-14 15:56:57 +08:00
    @Rwing 我的 docker 跑 redis,然后几个月前发现被植入了挖矿程序 kdevtmpfsi,他还给我加了几个 crontab
    m4d3bug
        31
    m4d3bug  
       2020-08-14 16:12:02 +08:00 via Android
    都会用 nginx 了,不能直接用 nginx 反代 gothub 的博客地址么
    coolcoffee
        32
    coolcoffee  
       2020-08-14 16:20:00 +08:00
    redis 默认没有 ssl 认证,被中间人窃听或者被爆破都是有可能的。建议只通过内网访问。

    外网需要访问简单点可以用 ssh 做隧道映射一下端口,复杂点就用 wireguard 、openvpn 之类的去做。
    Rwing
        33
    Rwing  
       2020-08-14 16:39:37 +08:00
    @v2yooha 是 host ?还是容器里?
    ladypxy
        34
    ladypxy  
       2020-08-14 16:49:58 +08:00 via iPhone
    Redis 单机用的话为什么不用 socks 连接
    stephCurry
        35
    stephCurry  
       2020-08-14 17:09:36 +08:00
    我都不设置密码,redis 不是默认 本地 127 访问吗,咋还能被入侵
    v2yooha
        36
    v2yooha  
       2020-08-14 19:15:34 +08:00
    @Rwing 容器里面
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1388 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:32 · PVG 01:32 · LAX 10:32 · JFK 13:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.