云安全!一个老码对黑客被动应战
版权声明:本文为半吊子子全栈工匠(wireless_com,同公众号)原创文章,未经允许不得转载。 https://blog.csdn.net/wireless_com/article/details/50445307
30日tataufo技术部团建,本来是个好日子,没想到竟然是悲剧的开始。
晚上到家,同事告诉我有用户反馈以用户名义发送了好友邀请的短信。
难道上次的bug接口被执行了? 登录云主机,发现根目录下有异常文件,居然文件名是Jave,用户组是redis,TMD!
检查所有的链接端口, 发现有来自 5.18.127.3 的 ssh 链接,黑客攻击!检查所有拥有 redis 用户权限的程序, 检查所有的crontab,检查 30日的有更新的所有文件,发现存在诸多不明文件。
同时,/mnt 挂载盘下的所有文件都有改动过的迹象,其中包括向通讯录用户发送好友请求短信的接口脚本。在上一次升级(3.1.5)中,存在一个bug,该脚本如无输入参数,将向所有通讯录好友发短信,靠,OMG!莫非那个家伙执行了这些脚本!
/tmp 下的鬼更多,moni.1 ! 居然是臭名昭著的莱特币挖矿程序!
立即强行kill, 删除redis 用户,删除所有不明文件,恢复用户的相关数据,…… 系统应该正常了。
安全,安全, 云服务器的安全更要重视!反思一下:
- 如果云服务告知存在安全隐患,就不要心存侥幸,以为你是老码,上帝会保佑你!
- 不要备份有缺憾的代码,一定时刻清洁代码
- 对云监控要重视,响应一定要及时
- 尽快部署堡垒机,不要怕麻烦
- ……
