这是一个创建于 3126 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天发现服务器连接不上
今天去阿里云看了下,发现居然被停止了,手动启动了一下,登陆服务器就发现了Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!这个东西
http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq
这个东西勒索 3BTC
另外阿里云的策略简直可怕,以前开了自动快照的,发现被黑的时候我还觉得无所谓,反正有快照,结果一去看快照,数量居然是 0.
提了个工单,告诉我,新快照系统还的再次设置,以前设置好的快照策略居然就直接下线了。
第 1 条附言 · 2016-04-18 15:47:13 +08:00
问题确认是 redis 出现的
redis 默认配置会 bind 0.0.0.0 而且没密码设置
相关的问题见这个博客:
http://my.oschina.net/lenglingx/blog/532185
我原本安装 redis 的时候也知道 redis 的 bind 设置,但是因为没有正式使用 redis ,所以也没有修改以及加密,这个 redis 每次就是测试用(就算数据被删除了也无所谓)。结果想不到 redis 还有这种的漏洞。
又 google 了一下,这个漏洞最早已经是 2015-11 的时候爆出来了。
提示一下大家注意
redis 默认配置会 bind 0.0.0.0 而且没密码设置
相关的问题见这个博客:
http://my.oschina.net/lenglingx/blog/532185
我原本安装 redis 的时候也知道 redis 的 bind 设置,但是因为没有正式使用 redis ,所以也没有修改以及加密,这个 redis 每次就是测试用(就算数据被删除了也无所谓)。结果想不到 redis 还有这种的漏洞。
又 google 了一下,这个漏洞最早已经是 2015-11 的时候爆出来了。
提示一下大家注意
 |
1
just4test 2016-04-18 10:56:08 +08:00
数据不重要就重装吧
|
 |
2
kozora 2016-04-18 10:56:12 +08:00
1.养成备份的习惯
2.时常关注服务商的动态 3.做好服务器防护 |
 |
3
ifconfig 2016-04-18 10:59:14 +08:00 via iPhone
有没有被清空操作记录或者什么日志之类的,看看是怎么黑的,关注中……
|
 |
4
hyperdak OP 备注这个的话,以前是开了快照的,谁知道他居然会上线新快照以后,然后阿里云居然还把它给下线了。
history 查看 命令都没有被改动过,命令还是我自己之前用过的 |
 |
5
azh7138m 2016-04-18 11:03:49 +08:00 via Android
快照策略更改发过邮件通知了(・・;)
同好奇怎么被黑的 |
 |
6
49 2016-04-18 11:04:13 +08:00 via iPhone  20
楼主准备好了一千万了吗?
|
 |
7
peter999 2016-04-18 11:05:23 +08:00
阿里云新快照上线时短信发过通知,里面告知了旧快照下线,新快照需要手动设置
|
 |
8
benbenzhangqi 2016-04-18 11:05:30 +08:00
还是自己手动连接比较靠谱 一个星期备份一次 习惯就好
|
 |
9
Bardon 2016-04-18 11:09:55 +08:00
所以,你 shell 也登陆不了了? db 被加密吗?还是个什么情况?
|
 |
10
arfaWong 2016-04-18 11:10:14 +08:00 3
评论阿里要先去银行取 1000w 现金 : )
|
 |
11
tangzhehao 2016-04-18 11:11:54 +08:00
好奇怎么黑的?
看完我就赶紧去设置快照策略去了。 |
 |
12
dommyet 2016-04-18 11:15:38 +08:00
这玩意居然蔓延到 VPS 上了啊 上一次听说这个还只是某品牌 NAS 有 0day 然后被批量扫描利用了 在后台隐蔽加密全盘后勒索用户 收到款项后还会自动解密
|
 |
13
dongyado 2016-04-18 11:16:09 +08:00
快照没了,不支付 btc 基本是拿不回来了,倒不如仔细研究一下怎么被黑的
|
 |
14
zealic 2016-04-18 11:24:21 +08:00
没有一千万不敢说话;
楼主记住:不要用云里阿。 |
|
15
hyperdak OP @Bardon shell 能登陆
数据库文件都被拿走了,现在剩下的是一个 test 数据库和 mysql 数据库,然后其他都没有了 |
 |
16
AntonChen 2016-04-18 11:25:16 +08:00
最近发帖评论阿里的都是土豪,一帖一千万
|
|
18
Bardon 2016-04-18 11:29:18 +08:00
@hyperdak 那没用了,就算支付 3btc ,也不保险
db 还是不要跟业务 vps 在一起啊,如果小型 vps ,备份一定要的。 |
 |
19
dapang1221 2016-04-18 11:30:57 +08:00
去找阿里客服喷一波,要是万一阿里云自己有自己的容灾备份呢……
|
 |
20
murmur 2016-04-18 11:42:24 +08:00
阿里云不是每周都有自动镜像吗 回滚一个就好了
|
 |
21
qq5745965425 2016-04-18 11:46:20 +08:00
评论阿里要先去银行取 1000w 现金 : )
|
|
22
qq5745965425 2016-04-18 11:46:34 +08:00
楼主准备好一千万了吗
|
 |
23
chousb 2016-04-18 11:48:19 +08:00
没有一千万不敢说话
|
 |
24
ixinshang 2016-04-18 11:48:22 +08:00
持续关注
|
 |
25
Cu635 2016-04-18 11:48:39 +08:00
。。。用阿里云,给自己找一个流氓混混作爹,这不就是活该么……
|
 |
26
songjiaxin2008 2016-04-18 11:49:34 +08:00 via iPhone
没有一千万并不敢大声说话
|
 |
27
russj 2016-04-18 11:51:18 +08:00
一千万是怎么回事?
|
 |
28
Coxxs 2016-04-18 11:59:07 +08:00 2
( 5 分)假设该帖层主花费 3 BTC 找回了数据,并向阿里云道歉,请问最终需花费多少钱?
|
 |
29
yangzj1992 2016-04-18 11:59:22 +08:00
没有一千万..不敢评论啊..
|
 |
30
irainsoft 2016-04-18 11:59:23 +08:00 via Android
没有 1000 万你也敢说阿里的不是
就是用户的锅 (滑稽 |
 |
31
lidonghao 2016-04-18 11:59:40 +08:00
楼主准备好一千万了吗
|
 |
32
moejiajia 2016-04-18 12:00:59 +08:00
入侵者怎么不顺便勒索个 1000 万 (眼斜
|
 |
33
Shura 2016-04-18 12:01:03 +08:00 via Android
楼主啊,阿里明明发过通知邮件的,快去找高利贷借一千万吧
|
 |
35
hpeng 2016-04-18 12:12:37 +08:00 via iPhone
去试下问阿里云客服,万一有容灾。
|
 |
36
icybee 2016-04-18 12:19:39 +08:00
我也发现了,快照策略下线了。。。阿里一个通知都没有。。。
|
 |
37
gzelvis 2016-04-18 12:25:00 +08:00
没有一千万,以后不敢说阿里的东西了
|
 |
38
acrisliu 2016-04-18 12:26:25 +08:00
吓我一跳,看到标题我还以为楼主说自己的阿里云服务器被阿里勒索了 (大雾
|
 |
41
redtea 2016-04-18 12:31:07 +08:00
没有 1000 万也敢抱怨阿里?
|
 |
42
Tink 2016-04-18 12:31:19 +08:00 via iPhone
没 1000w 现在都不敢说话
|
 |
44
feather12315 2016-04-18 12:36:48 +08:00 via Android
楼主小心阿里高你诽谤,索赔一千万
|
|
46
hyperdak OP :) 最后想想好像只能老实交钱了,有之前见过这种案例的同学能说一下怎么付钱么
|
 |
47
huobazi 2016-04-18 12:44:57 +08:00
一千万啊一千万哦,楼主平安!
|
 |
48
anoymoux 2016-04-18 12:45:17 +08:00
别再拿 1000w 的梗来秀下限了,“造谣”和“黑” 是两码事
|
 |
49
pupboss 2016-04-18 12:49:52 +08:00
我靠!!!阿里云的快照怎么没了,完全没通知啊
|
 |
50
wupher 2016-04-18 12:49:57 +08:00
没 1000 万不敢评论啊。
话说对方也没说你交了 3BTC ,就把文件还给你。要不 3BTC 倒不贵。(如果不是一个文件 3BTC ) |
|
51
pupboss 2016-04-18 12:53:40 +08:00
你可以写个脚本,每天自动备份重要数据到七牛,我现在是这么个做法,还算安逸
|
 |
52
shoaly 2016-04-18 12:55:57 +08:00
感谢楼主的悲剧, 我也发现快照失效了
|
|
53
hyperdak OP @pupboss 本来以前有个办公室的自动备份,后来发现快照系统挺好用,就用上了,办公室的自动备份就停止了。之前还用快照恢复过一次数据,感觉稳定,结果这次。。
|
 |
54
loweila 2016-04-18 13:31:26 +08:00
意思说有了 1000 万就可以造谣了?
|
 |
55
saturnast 2016-04-18 13:41:37 +08:00
楼上这逻辑理解能力...
|
 |
56
lansexinyu 2016-04-18 13:43:03 +08:00
没看到 1000W 是什么鬼!
|
 |
58
badcode 2016-04-18 13:46:44 +08:00 via iPhone
备份的重要性
|
 |
59
frankwei 2016-04-18 13:52:17 +08:00
没有一千万的我并不敢大声说话
|
|
60
ifconfig 2016-04-18 13:57:14 +08:00
阿里员工出来走两步?
|
 |
61
Marser 2016-04-18 14:17:18 +08:00
一千万准备好了么?亲
|
 |
62
yeqiu 2016-04-18 14:27:58 +08:00
这种事,阿里云没有责任么?服务器提供商难道没有责任保护服务器不受攻击么?
疑问句,不是反问句! |
 |
63
laukwanchan 2016-04-18 14:31:59 +08:00
楼上回复的朋友们你们准备好 1000W 了没?反正我没有,我也不说云里阿。
仅仅安慰楼主:以后要养成定期备份的习惯,以及要随时监控服务器状态的反馈。 |
 |
64
XuanYuan 2016-04-18 15:00:31 +08:00
1 、准备好比特币,参见我的经历:/t/146340
2 、准备好 1000 万…… |
 |
65
jiziya 2016-04-18 15:13:20 +08:00
之前我的也被黑了,后来恢复过几次快照,然而并没有什么卵用,然后。。。就重装系统了。
分析被盗的原因,可能有几点: 1. 一直是 root 密码登录; 2. 下载过乱七八糟自己也不知道到底什么用的脚本,本来是想尝试自签 let 证书的,唉。 |
|
66
pupboss 2016-04-18 15:27:19 +08:00 via iPhone
|
 |
67
wh0syourda66y 2016-04-18 15:28:43 +08:00
没有一千万憋说话
|
 |
68
aliyun123 2016-04-18 15:36:54 +08:00
楼主您好,服务器问题如电话沟通,建议您先检查服务器的应用是否存在安全漏洞,如有漏洞问题请尽快及时修复,以免造成不必要的损失!阿里云的安全产品可以将安全问题防患于未然,针对您出现的这个问题,可以使用服务器安全托管服务,请参考 https://www.aliyun.com/product/mss/;关于快照的问题我们在 3.15 号上线了 ECS 快照 2.0 服务,旧的快照策略下线前我们已经邮件和短信通知您,需要您到 ECS 控制台设置快照 2.0 的自动快照策略,快照 2.0 服务的自动快照才能自动执行,具体可以参考: https://help.aliyun.com/noticelist/articleid/13075669.html?spm=5176.789004749.n2.7.gUDuIe
|
 |
69
hicdn 2016-04-18 15:44:08 +08:00
楼主准备好一千万了吗
|
|
70
hyperdak OP @XuanYuan 这边准备购买 BTC 了,请问一下,这种情况,我支付了 btc 之后,那边黑客会如何和我联系?
我查看了一下他的 address ,今天已经收到了一笔 3BTC 了,他如何确认是哪个服务器的所有人支付的? 给那边提供的邮箱发了 email ,也不见回复我。 |
 |
71
evitceted 2016-04-18 15:48:25 +08:00
目测楼主有钱
|
 |
73
pimin 2016-04-18 16:09:11 +08:00 via iPhone 3
3BTC VS 1000w ¥
问:谁是强盗? |
|
74
hyperdak OP @ThreeBody 这个客服倒不是说废话,和我电话联系过了,然后帮我排查了一些问题,但是数据那边的删除就没痕迹了。也是他们帮我确认的是 redis 的漏洞问题。
= =我这现在正在焦头烂额准备买 BTC ,但是又担心数据的恢复问题。 |
 |
75
ThreeBody 2016-04-18 16:43:13 +08:00 via Android
@hyperdak 他在电话可能给你解决,但是我第一次看这个帖子,这个回复只是安全提醒类型,事前说的才有用
|
 |
76
congeec 2016-04-18 16:50:58 +08:00
|
 |
77
xifangczy 2016-04-18 17:10:06 +08:00
才 3BTC 而已。。。要不然你就给 1000w
|
 |
78
Felldeadbird 2016-04-18 17:39:49 +08:00
那么问题来了,我记得阿里云 不是有云盾么。怎么这个洞没发现出来?
遥想上次公司搬服务器,里面有一个 ecshop 的程序(不会运行的)。阿里云马上发短信来说“亲,您的服务器有一个 ecshop 的安全漏洞”。。。 |
 |
79
tSQghkfhTtQt9mtd 2016-04-18 18:13:27 +08:00 via Android
|
 |
80
cpp255 2016-04-18 19:19:29 +08:00
1000W 今天占了 2 个热议了。
|
 |
82
genesislive 2016-04-18 19:44:32 +08:00
以上所有提到 1000w 的麻烦准备好 1000w
|
 |
83
incompatible 2016-04-18 21:50:00 +08:00
楼主,抛开阿里云和 redis 的漏洞不说,你最需要吸取的一个教训就是“不要用 root 账户登录、不要用 root 账户启动应用”。
我曾经也中了 redis 这个 bug 的枪,万幸入侵者猜不到我的 ssh 用户名,所以它最终也没有登录进我的操作系统。 |
 |
84
hljjhb 2016-04-18 22:15:28 +08:00
楼主真的是有钱,阿里云肯定是完美的 →_→
|
 |
85
misaka00251 2016-04-18 23:51:55 +08:00 via Android
@Coxxs 叉大!
|
 |
86
konakona 2016-04-19 00:02:30 +08:00
http://blog.crazyphper.com/?p=3799
关于 REDIS 默认无密码这个问题,严重性还是蛮高的。 |
 |
87
lslqtz 2016-04-19 00:12:10 +08:00 via iPhone
我用的 memcached 阿里云云盾有提示我不小心开放了。然后监听到 127 去了 QwQ
|
 |
88
tinyproxy 2016-04-19 00:22:43 +08:00 via iPhone
楼上那么多黑阿里的也够了吧,这个明显自己作死,命苦怨政府咯,当教训积累经验吧。
|
 |
90
chinajik 2016-04-19 10:30:43 +08:00
这货估计整个内网的 redis 都扫了一遍, 我跟你一起中枪了...
幸好开发机,格式化掉了,我还以为是 elastic 的 groovy 的提权漏洞... 这下懂了 |
 |
91
xhat 2016-04-19 10:49:42 +08:00
谢楼主提醒。吓的我赶紧把快照策略加上了。
|
 |
92
laiyingdong 2016-04-19 11:01:28 +08:00 via Android
勒索病毒 的服务器版 Windows PC 甚至 OS X 都有 服务器也有不奇怪吧。
|
 |
93
jadecoder 2016-04-19 11:02:16 +08:00 1
@Felldeadbird 你这是在说阿里云扫描你硬盘数据啊
你摊上事儿了 |
 |
95
jwangkun 2016-04-19 12:28:03 +08:00
好嚣张啊
|
 |
96
lty494685444 2016-04-19 15:01:22 +08:00
没有一千万还敢用阿里云
|
 |
97
techmoe 2016-04-19 22:25:36 +08:00 via Android
有什么重要数据吗。。
|
 |
98
wxlg1117 2016-04-20 10:35:48 +08:00
我也是测试环境中招了,一开始还给装了个挖比特币工具...还发现这个勒索信了:
http://pastie.org/pastes/10798252/reply?key=hghqjtqxumoszqwgqon6jg |
 |
99
realpg 2016-04-20 13:12:10 +08:00
redis dump 恢复覆盖了 ssh 密钥吧……
话说,基本上发生这个问题的都是 centos , ubuntu server 表示鸭梨不大…… |
|
100
realpg 2016-04-20 13:14:11 +08:00
卧槽没打完就发出去了
生产服务器,还是找个专业运维吧,怎么说这种基础的常见漏洞天天摆弄服务器的人都知道。 本质上这都不是漏洞 |
Select Language