雲安全!一個老碼對駭客被動應戰

來源:互聯網
上載者:User

標籤:

30日tataufo技術部團建,本來是個好日子,沒想到竟然是悲劇的開始。

晚上到家,同事告訴我有使用者反饋以使用者名稱義發送了好友邀請的簡訊。

難道上次的bug介面被執行了? 登入雲主機,發現根目錄下有異常檔案,居然檔案名稱是Jave,使用者組是redis,TMD!

檢查所有的連結連接埠, 發現有來自 5.18.127.3 的 ssh 連結,駭客攻擊!檢查所有擁有 redis 使用者權限的程式, 檢查所有的crontab,檢查 30日的有更新的所有檔案,發現存在諸多不明檔案。

同時,/mnt 掛載盤下的所有檔案都有改動過的跡象,其中包括向通訊錄使用者發送好友請求簡訊的介面指令碼。在上一次升級(3.1.5)中,存在一個bug,該指令碼如無輸入參數,將向所有通訊錄好友發簡訊,靠,OMG!莫非那個傢伙執行了這些指令碼!

/tmp 下的鬼更多,moni.1 ! 居然是臭名昭著的萊特幣挖礦程式!

立即強行kill, 刪除redis 使用者,刪除所有不明檔案,恢複使用者的相關資料,…… 系統應該正常了。

安全,安全, 雲端服務器的安全更要重視!反思一下:

  • 如果雲端服務告知存在安全隱患,就不要心存僥倖,以為你是老碼,上帝會保佑你!
  • 不要備份有缺憾的代碼,一定時刻清潔代碼
  • 對CloudMonitor要重視,響應一定要及時
  • 儘快部署Bastion Host,不要怕麻煩
  • ……

雲安全!一個老碼對駭客被動應戰

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.