V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
saixx
V2EX  ›  Linux

阿里云被黑客入侵植入挖矿软件并修改了 ssh key

  •  
  •   saixx · 157 天前 via Android · 5244 次点击
    这是一个创建于 157 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Redis 没设置好被入侵修改了 crontab,现在有一个 khugepaged 的挖矿软件,黑客在我电脑上写入了 ssh key,我已经把服务器关了,现在怎么处理,服务器上有我自己的 hexo 博客,有没有大佬支支招
    36 条回复    2020-08-14 19:15:34 +08:00
    saixx
        1
    saixx   157 天前 via Android   ❤️ 1
    如果要重装系统怎么把 hexo 数据迁移,我是 git 钩子同步到一个文件夹,然后用 nginx 解析的
    binggg
        2
    binggg   157 天前
    Hexo 不是纯静态的么,有 Git 代码在就可以重新部署

    如果只是挂个 Hexo 博客,没必要搞个服务器,可以用云开发的静态托管
    fanyingmao
        3
    fanyingmao   157 天前 via Android
    Redis 端口敢放出来估计一下就被入侵了。还有用 GitHub 之类的放博客省事,不然以后还要续费迁移什么的。
    lvming6816077
        4
    lvming6816077   157 天前 via iPhone
    有同样经历,只不过我 mongodb 端口放出来了,然后被黑客删库了,好在有备份,查了下 ip 是一个德国的地址
    StarUDream
        5
    StarUDream   157 天前 via Android
    阿里云可以安装云助手,可以远程执行命令,把你的公钥写入就行。
    webshe11
        6
    webshe11   157 天前
    死因:redis
    喜闻乐见
    watzds
        7
    watzds   157 天前 via Android
    16 年就见过,现在还有,好在当时 ssh 没退出
    levelworm
        8
    levelworm   157 天前 via Android
    @webshe11 求问 redis 为什么容易造成这样的问题?
    RyuZheng
        9
    RyuZheng   156 天前 via iPhone
    我搭了个 typecho 的博客,有人像倒垃圾一样用垃圾评论塞满我的数据库,问题是都 2019 年了,你有本事去黑大公司啊,或者黑个 VPS 我也不说啥了,我一个 php 小虚拟机,你塞满我那 200m 数据库,是能有什么成就感……
    而且我后来都换成 github page 了,看 Cloudflare 解析记录,那几个欧洲国家的访问还一直继续……
    renmu123
        10
    renmu123   156 天前 via Android   ❤️ 1
    @levelworm Redis 默认没有密码
    PHPer233
        11
    PHPer233   156 天前 via Android
    先保护案发现场,给虚拟机做个快照。然后备份资料和数据,最后重装系统。
    Netfix
        12
    Netfix   156 天前   ❤️ 1
    @levelworm redis 默认没有密码,如果是管理员运行的,那么可以将公钥作为键值存储,在将文件刷到磁盘的.ssh 文件夹改个名就行了。
    opengps
        13
    opengps   156 天前
    其实不是被黑客入侵,是被黑客程序入侵,这种挖矿病毒甚至是无人值守自动扫描漏洞入侵系统的

    反面想:挖矿还好,至少不是加密勒索,不是恶意破坏,备份出来可以尝试恢复出来自己的数据
    tankren
        14
    tankren   156 天前
    @lvming6816077 #4 这种 IP 没意义 都是肉鸡
    zarte
        15
    zarte   156 天前
    服务器 firewall 不开的么??
    Rwing
        16
    Rwing   156 天前
    我用 docker 跑的 redis,没啥风险吧?
    qwerthhusn
        17
    qwerthhusn   156 天前
    @Rwing 那得看运行容器有没有赋予 privileged 或者 cap-add
    cco
        18
    cco   156 天前
    前年就是因为 redis 放开端口呗挖矿,所以最好是换端口,如果非要把端口放出来就加上密码吧。
    cco
        19
    cco   156 天前
    @Rwing 我 docker 跑的就中过招。。。。所以你还是加个密码吧,另外端口也改了。
    watermelonman
        20
    watermelonman   156 天前
    @Netfix 那是不是设置了密码 就会安全点?还是 端口都不开放?
    realpg
        21
    realpg   156 天前
    你一定是用的 centos
    xuejianxianzun
        22
    xuejianxianzun   156 天前
    我有个简单网站也用了 redis,我一开始就设置了密码 ,也修改了端口号,目前没啥问题
    rubytek
        23
    rubytek   156 天前
    这种都是自动扫端口注入的,如果是企业使用阿里云,一定都要配置安全组策略,限制公网端口开放。个人的你就当吃个教训吧。
    lyi4ng
        24
    lyi4ng   156 天前
    如果你只是想保留一下 hexo 的博客,建议直接挂 github 吧省事
    如果还想用阿里云的话,就把 hexo 的文件整个备份一下然后重装下云系统
    如过你连系统都不想重装就把 ssh key 删了,/etc/passwd 排查一下有没新帐号,redis 加密码,crontab 配置删了,挖矿守护进程杀了(有的话),挖矿进程杀了,挖矿马删了等等等等
    wfd0807
        25
    wfd0807   156 天前
    用 docker,保护好宿主,容器随便造
    wangyzj
        26
    wangyzj   156 天前
    redis bug 多年前就被干过
    挖矿算好的
    我那个被勒索
    直接关闭主机了
    Mutoo
        27
    Mutoo   156 天前
    Redis 为啥不直接用 rds,要放在 ecs 上。
    swsh007
        28
    swsh007   156 天前 via Android
    被挖矿的路过
    不知道咋弄的
    拿 htop 看 cpu 占用率发现总是 100%
    virusdefender
        29
    virusdefender   156 天前
    不设置密码
    不开安全组
    不装安骑士
    v2yooha
        30
    v2yooha   156 天前
    @Rwing 我的 docker 跑 redis,然后几个月前发现被植入了挖矿程序 kdevtmpfsi,他还给我加了几个 crontab
    m4d3bug
        31
    m4d3bug   156 天前 via Android
    都会用 nginx 了,不能直接用 nginx 反代 gothub 的博客地址么
    coolcoffee
        32
    coolcoffee   156 天前
    redis 默认没有 ssl 认证,被中间人窃听或者被爆破都是有可能的。建议只通过内网访问。

    外网需要访问简单点可以用 ssh 做隧道映射一下端口,复杂点就用 wireguard 、openvpn 之类的去做。
    Rwing
        33
    Rwing   156 天前
    @v2yooha 是 host ?还是容器里?
    ladypxy
        34
    ladypxy   156 天前 via iPhone
    Redis 单机用的话为什么不用 socks 连接
    stephCurry
        35
    stephCurry   156 天前
    我都不设置密码,redis 不是默认 本地 127 访问吗,咋还能被入侵
    v2yooha
        36
    v2yooha   156 天前
    @Rwing 容器里面
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1068 人在线   最高记录 5298   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 18ms · UTC 22:57 · PVG 06:57 · LAX 14:57 · JFK 17:57
    ♥ Do have faith in what you're doing.