版權聲明:本文為半吊子子全棧工匠(wireless_com,同公衆号)原創文章,未經允許不得轉載。 https://blog.csdn.net/wireless_com/article/details/50445307
30日tataufo技術部團建,本來是個好日子,沒想到竟然是悲劇的開始。
晚上到家,同僚告訴我有使用者回報以使用者名義發送了好友邀請的短信。
難道上次的bug接口被執行了? 登入雲主機,發現根目錄下有異常檔案,居然檔案名是Jave,使用者組是redis,TMD!
檢查所有的連結端口, 發現有來自 5.18.127.3 的 ssh 連結,黑客攻擊!檢查所有擁有 redis 使用者權限的程式, 檢查所有的crontab,檢查 30日的有更新的所有檔案,發現存在諸多不明檔案。
同時,/mnt 挂載盤下的所有檔案都有改動過的迹象,其中包括向通訊錄使用者發送好友請求短信的接口腳本。在上一次更新(3.1.5)中,存在一個bug,該腳本如無輸入參數,将向所有通訊錄好友發短信,靠,OMG!莫非那個家夥執行了這些腳本!
/tmp 下的鬼更多,moni.1 ! 居然是臭名昭著的萊特币挖礦程式!
立即強行kill, 删除redis 使用者,删除所有不明檔案,恢複使用者的相關資料,…… 系統應該正常了。
安全,安全, 雲伺服器的安全更要重視!反思一下:
- 如果雲服務告知存在安全隐患,就不要心存僥幸,以為你是老碼,上帝會保佑你!
- 不要備份有缺憾的代碼,一定時刻清潔代碼
- 對雲監控要重視,響應一定要及時
- 盡快部署堡壘機,不要怕麻煩
- ……
![軟考-軟體設計師 筆記五(系統安全分析與設計)資訊系統安全屬性對稱加密技術非對稱加密技術資訊摘要數字簽名數字信封與PGP各個網絡層次的安全保障網絡威脅與攻擊防火牆技術[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)