云安全!一个老码对黑客被动应战
版权声明:本文为半吊子子全栈工匠(wireless_com,同公众号)原创文章,未经允许不得转载。 https://blog.csdn.net/wireless_com/article/details/50445307 30日tataufo技术部团建,本来是个好日子,没想到竟然是悲剧的开始。 晚上到家,同事告诉我有用户反馈以用户名义发送了好友邀请的短信。 难道上次的bug接口被执行了? 登录云主机,发现根目录下有异常文件,居然文件名是Jave,用户组是redis,TMD! 检查所有的链接端口, 发现有来自 5.18.127.3 的 ssh 链接,黑客攻击!检查所有拥有 redis 用户权限的程序, 检查所有的crontab,检查 30日的有更新的所有文件,发现存在诸多不明文件。 同时,/mnt 挂载盘下的所有文件都有改动过的迹象,其中包括向通讯录用户发送好友请求短信的接口脚本。在上一次升级(3.1.5)中,存在一个bug,该脚本如无输入参数,将向所有通讯录好友发短信,靠,OMG!莫非那个家伙执行了这些脚本! /tmp 下的鬼更多,moni.1 ! 居然是臭名昭著的莱特币挖矿程序! 立即...
