这是一个创建于 3464 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天发现服务器连接不上 今天去阿里云看了下,发现居然被停止了,手动启动了一下,登陆服务器就发现了Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!这个东西
http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq
这个东西勒索 3BTC
另外阿里云的策略简直可怕,以前开了自动快照的,发现被黑的时候我还觉得无所谓,反正有快照,结果一去看快照,数量居然是 0.
提了个工单,告诉我,新快照系统还的再次设置,以前设置好的快照策略居然就直接下线了。
第 1 条附言 2016-04-18 15:47:13 +08:00
问题确认是 redis 出现的
redis 默认配置会 bind 0.0.0.0 而且没密码设置
相关的问题见这个博客:
http://my.oschina.net/lenglingx/blog/532185
我原本安装 redis 的时候也知道 redis 的 bind 设置,但是因为没有正式使用 redis ,所以也没有修改以及加密,这个 redis 每次就是测试用(就算数据被删除了也无所谓)。结果想不到 redis 还有这种的漏洞。
又 google 了一下,这个漏洞最早已经是 2015-11 的时候爆出来了。
提示一下大家注意
redis 默认配置会 bind 0.0.0.0 而且没密码设置
相关的问题见这个博客:
http://my.oschina.net/lenglingx/blog/532185
我原本安装 redis 的时候也知道 redis 的 bind 设置,但是因为没有正式使用 redis ,所以也没有修改以及加密,这个 redis 每次就是测试用(就算数据被删除了也无所谓)。结果想不到 redis 还有这种的漏洞。
又 google 了一下,这个漏洞最早已经是 2015-11 的时候爆出来了。
提示一下大家注意
 | 1 just4test 2016-04-18 10:56:08 +08:00 数据不重要就重装吧 |
 | 2 kozora 2016-04-18 10:56:12 +08:00 1.养成备份的习惯 2.时常关注服务商的动态 3.做好服务器防护 |
 | 3 ifconfig 2016-04-18 10:59:14 +08:00 via iPhone 有没有被清空操作记录或者什么日志之类的,看看是怎么黑的,关注中…… |
 | 4 hyperdak OP 备注这个的话,以前是开了快照的,谁知道他居然会上线新快照以后,然后阿里云居然还把它给下线了。 history 查看 命令都没有被改动过,命令还是我自己之前用过的 |
 | 5 azh7138m 2016-04-18 11:03:49 +08:00 via Android 快照策略更改发过邮件通知了(··;) 同好奇怎么被黑的 |
 | 6 49 2016-04-18 11:04:13 +08:00 via iPhone  20 楼主准备好了一千万了吗? |
 | 7 peter999 2016-04-18 11:05:23 +08:00 阿里云新快照上线时短信发过通知,里面告知了旧快照下线,新快照需要手动设置 |
 | 8 benbenzhangqi 2016-04-18 11:05:30 +08:00 还是自己手动连接比较靠谱 一个星期备份一次 习惯就好 |
 | 9 Bardon 2016-04-18 11:09:55 +08:00 所以,你 shell 也登陆不了了? db 被加密吗?还是个什么情况? |
 | 10 arfaWong 2016-04-18 11:10:14 +08:00 3 评论阿里要先去银行取 1000w 现金 : ) |
 | 11 tangzhehao 2016-04-18 11:11:54 +08:00 好奇怎么黑的? 看完我就赶紧去设置快照策略去了。 |
 | 12 dommyet 2016-04-18 11:15:38 +08:00 这玩意居然蔓延到 VPS 上了啊 上一次听说这个还只是某品牌 NAS 有 0day 然后被批量扫描利用了 在后台隐蔽加密全盘后勒索用户 收到款项后还会自动解密 |
 | 13 dongyado 2016-04-18 11:16:09 +08:00 快照没了,不支付 btc 基本是拿不回来了,倒不如仔细研究一下怎么被黑的 |
 | 14 zealic 2016-04-18 11:24:21 +08:00 没有一千万不敢说话; 楼主记住:不要用云里阿。 |
| 15 hyperdak OP @Bardon shell 能登陆 数据库文件都被拿走了,现在剩下的是一个 test 数据库和 mysql 数据库,然后其他都没有了 |
 | 16 AntonChen 2016-04-18 11:25:16 +08:00 最近发帖评论阿里的都是土豪,一帖一千万 |
| 18 Bardon 2016-04-18 11:29:18 +08:00 @hyperdak 那没用了,就算支付 3btc ,也不保险 db 还是不要跟业务 vps 在一起啊,如果小型 vps ,备份一定要的。 |
 | 19 dapang1221 2016-04-18 11:30:57 +08:00 去找阿里客服喷一波,要是万一阿里云自己有自己的容灾备份呢…… |
 | 20 murmur 2016-04-18 11:42:24 +08:00 阿里云不是每周都有自动镜像吗 回滚一个就好了 |
 | 21 qq5745965425 2016-04-18 11:46:20 +08:00 评论阿里要先去银行取 1000w 现金 : ) |
| 22 qq5745965425 2016-04-18 11:46:34 +08:00 楼主准备好一千万了吗 |
 | 23 chousb 2016-04-18 11:48:19 +08:00 没有一千万不敢说话 |
 | 24 ixinshang 2016-04-18 11:48:22 +08:00 持续关注 |
 | 25 Cu635 2016-04-18 11:48:39 +08:00 。。。用阿里云,给自己找一个流氓混混作爹,这不就是活该么…… |
 | 26 songjiaxin2008 2016-04-18 11:49:34 +08:00 via iPhone 没有一千万并不敢大声说话 |
 | 27 russj 2016-04-18 11:51:18 +08:00 一千万是怎么回事? |
 | 28 Coxxs 2016-04-18 11:59:07 +08:00 2 ( 5 分)假设该帖层主花费 3 BTC 找回了数据,并向阿里云道歉,请问最终需花费多少钱? |
 | 29 yangzj1992 2016-04-18 11:59:22 +08:00 没有一千万..不敢评论啊.. |
 | 30 irainsoft 2016-04-18 11:59:23 +08:00 via Android 没有 1000 万你也敢说阿里的不是 就是用户的锅 (滑稽 |
 | 31 lidonghao 2016-04-18 11:59:40 +08:00 楼主准备好一千万了吗 |
 | 32 moejiajia 2016-04-18 12:00:59 +08:00 入侵者怎么不顺便勒索个 1000 万 (眼斜 |
 | 33 Shura 2016-04-18 12:01:03 +08:00 via Android 楼主啊,阿里明明发过通知邮件的,快去找高利贷借一千万吧 |
 | 35 hpeng 2016-04-18 12:12:37 +08:00 via iPhone 去试下问阿里云客服,万一有容灾。 |
 | 36 icybee 2016-04-18 12:19:39 +08:00 我也发现了,快照策略下线了。。。阿里一个通知都没有。。。 |
 | 37 gzelvis 2016-04-18 12:25:00 +08:00 没有一千万,以后不敢说阿里的东西了 |
 | 38 acrisliu 2016-04-18 12:26:25 +08:00 吓我一跳,看到标题我还以为楼主说自己的阿里云服务器被阿里勒索了 (大雾 |
 | 41 redtea 2016-04-18 12:31:07 +08:00 没有 1000 万也敢抱怨阿里? |
 | 42 Tink PRO 没 1000w 现在都不敢说话 |
 | 44 feather12315 2016-04-18 12:36:48 +08:00 via Android 楼主小心阿里高你诽谤,索赔一千万 |
| 46 hyperdak OP :) 最后想想好像只能老实交钱了,有之前见过这种案例的同学能说一下怎么付钱么 |
 | 47 huobazi 2016-04-18 12:44:57 +08:00 一千万啊一千万哦,楼主平安! |
 | 48 anoymoux 2016-04-18 12:45:17 +08:00 别再拿 1000w 的梗来秀下限了,“造谣”和“黑” 是两码事 |
 | 49 pupboss 2016-04-18 12:49:52 +08:00 我靠!!!阿里云的快照怎么没了,完全没通知啊 |
 | 50 wupher 2016-04-18 12:49:57 +08:00 没 1000 万不敢评论啊。 话说对方也没说你交了 3BTC ,就把文件还给你。要不 3BTC 倒不贵。(如果不是一个文件 3BTC ) |
| 51 pupboss 2016-04-18 12:53:40 +08:00 你可以写个脚本,每天自动备份重要数据到七牛,我现在是这么个做法,还算安逸 |
 | 52 shoaly 2016-04-18 12:55:57 +08:00 感谢楼主的悲剧, 我也发现快照失效了 |
| 53 hyperdak OP @pupboss 本来以前有个办公室的自动备份,后来发现快照系统挺好用,就用上了,办公室的自动备份就停止了。之前还用快照恢复过一次数据,感觉稳定,结果这次。。 |
 | 54 loweila 2016-04-18 13:31:26 +08:00 意思说有了 1000 万就可以造谣了? |
 | 55 saturnast 2016-04-18 13:41:37 +08:00 楼上这逻辑理解能力... |
 | 56 lansexinyu 2016-04-18 13:43:03 +08:00 没看到 1000W 是什么鬼! |
 | 58 badcode 2016-04-18 13:46:44 +08:00 via iPhone 备份的重要性 |
 | 59 frankwei 2016-04-18 13:52:17 +08:00 没有一千万的我并不敢大声说话 |
| 60 ifconfig 2016-04-18 13:57:14 +08:00 阿里员工出来走两步? |
 | 61 Marser 2016-04-18 14:17:18 +08:00 一千万准备好了么?亲 |
 | 62 yeqiu 2016-04-18 14:27:58 +08:00 这种事,阿里云没有责任么?服务器提供商难道没有责任保护服务器不受攻击么? 疑问句,不是反问句! |
 | 63 laukwanchan 2016-04-18 14:31:59 +08:00 楼上回复的朋友们你们准备好 1000W 了没?反正我没有,我也不说云里阿。 仅仅安慰楼主:以后要养成定期备份的习惯,以及要随时监控服务器状态的反馈。 |
 | 64 XuanYuan 2016-04-18 15:00:31 +08:00 1 、准备好比特币,参见我的经历:/t/146340 2 、准备好 1000 万…… |
 | 65 jiziya 2016-04-18 15:13:20 +08:00 之前我的也被黑了,后来恢复过几次快照,然而并没有什么卵用,然后。。。就重装系统了。 分析被盗的原因,可能有几点: 1. 一直是 root 密码登录; 2. 下载过乱七八糟自己也不知道到底什么用的脚本,本来是想尝试自签 let 证书的,唉。 |
| 66 pupboss 2016-04-18 15:27:19 +08:00 via iPhone |
 | 67 wh0syourda66y 2016-04-18 15:28:43 +08:00 没有一千万憋说话 |
 | 68 aliyun123 2016-04-18 15:36:54 +08:00 楼主您好,服务器问题如电话沟通,建议您先检查服务器的应用是否存在安全漏洞,如有漏洞问题请尽快及时修复,以免造成不必要的损失!阿里云的安全产品可以将安全问题防患于未然,针对您出现的这个问题,可以使用服务器安全托管服务,请参考 https://www.aliyun.com/product/mss/;关于快照的问题我们在 3.15 号上线了 ECS 快照 2.0 服务,旧的快照策略下线前我们已经邮件和短信通知您,需要您到 ECS 控制台设置快照 2.0 的自动快照策略,快照 2.0 服务的自动快照才能自动执行,具体可以参考: https://help.aliyun.com/noticelist/articleid/13075669.html?spm=5176.789004749.n2.7.gUDuIe |
 | 69 hicdn 2016-04-18 15:44:08 +08:00 楼主准备好一千万了吗 |
| 70 hyperdak OP @XuanYuan 这边准备购买 BTC 了,请问一下,这种情况,我支付了 btc 之后,那边黑客会如何和我联系? 我查看了一下他的 address ,今天已经收到了一笔 3BTC 了,他如何确认是哪个服务器的所有人支付的? 给那边提供的邮箱发了 email ,也不见回复我。 |
 | 71 evitceted 2016-04-18 15:48:25 +08:00 目测楼主有钱 |
 | 73 pimin 2016-04-18 16:09:11 +08:00 via iPhone 3 3BTC VS 1000w 问:谁是强盗? |
| 74 hyperdak OP @ThreeBody 这个客服倒不是说废话,和我电话联系过了,然后帮我排查了一些问题,但是数据那边的删除就没痕迹了。也是他们帮我确认的是 redis 的漏洞问题。 = =我这现在正在焦头烂额准备买 BTC ,但是又担心数据的恢复问题。 |
 | 75 ThreeBody 2016-04-18 16:43:13 +08:00 via Android @hyperdak 他在电话可能给你解决,但是我第一次看这个帖子,这个回复只是安全提醒类型,事前说的才有用 |
 | 76 congeec 2016-04-18 16:50:58 +08:00 |
 | 77 xifangczy 2016-04-18 17:10:06 +08:00 才 3BTC 而已。。。要不然你就给 1000w |
 | 78 Felldeadbird 2016-04-18 17:39:49 +08:00 那么问题来了,我记得阿里云 不是有云盾么。怎么这个洞没发现出来? 遥想上次公司搬服务器,里面有一个 ecshop 的程序(不会运行的)。阿里云马上发短信来说“亲,您的服务器有一个 ecshop 的安全漏洞”。。。 |
 | 79 tSQghkfhTtQt9mtd 2016-04-18 18:13:27 +08:00 via Android |
 | 80 cpp255 2016-04-18 19:19:29 +08:00 1000W 今天占了 2 个热议了。 |
 | 82 genesislive 2016-04-18 19:44:32 +08:00 以上所有提到 1000w 的麻烦准备好 1000w |
 | 83 incompatible 2016-04-18 21:50:00 +08:00 楼主,抛开阿里云和 redis 的漏洞不说,你最需要吸取的一个教训就是“不要用 root 账户登录、不要用 root 账户启动应用”。 我曾经也中了 redis 这个 bug 的枪,万幸入侵者猜不到我的 ssh 用户名,所以它最终也没有登录进我的操作系统。 |
 | 84 hljjhb 2016-04-18 22:15:28 +08:00 楼主真的是有钱,阿里云肯定是完美的 →_→ |
 | 85 misaka00251 2016-04-18 23:51:55 +08:00 via Android @Coxxs 叉大! |
 | 86 konakona 2016-04-19 00:02:30 +08:00 http://blog.crazyphper.com/?p=3799 关于 REDIS 默认无密码这个问题,严重性还是蛮高的。 |
 | 87 lslqtz 2016-04-19 00:12:10 +08:00 via iPhone 我用的 memcached 阿里云云盾有提示我不小心开放了。然后监听到 127 去了 QwQ |
 | 88 tinyproxy 2016-04-19 00:22:43 +08:00 via iPhone 楼上那么多黑阿里的也够了吧,这个明显自己作死,命苦怨政府咯,当教训积累经验吧。 |
 | 90 chinajik 2016-04-19 10:30:43 +08:00 这货估计整个内网的 redis 都扫了一遍, 我跟你一起中枪了... 幸好开发机,格式化掉了,我还以为是 elastic 的 groovy 的提权漏洞... 这下懂了 |
 | 91 xhat 2016-04-19 10:49:42 +08:00 谢楼主提醒。吓的我赶紧把快照策略加上了。 |
 | 92 laiyingdong 2016-04-19 11:01:28 +08:00 via Android 勒索病毒 的服务器版 Windows PC 甚至 OS X 都有 服务器也有不奇怪吧。 |
 | 93 jadecoder 2016-04-19 11:02:16 +08:00 1 @Felldeadbird 你这是在说阿里云扫描你硬盘数据啊 你摊上事儿了 |
 | 95 jwangkun 2016-04-19 12:28:03 +08:00 好嚣张啊 |
 | 96 没有一千万还敢用阿里云 |
 | 97 techmoe 2016-04-19 22:25:36 +08:00 via Android 有什么重要数据吗。。 |
 | 98 wxlg1117 2016-04-20 10:35:48 +08:00 我也是测试环境中招了,一开始还给装了个挖比特币工具...还发现这个勒索信了: http://pastie.org/pastes/10798252/reply?key=hghqjtqxumoszqwgqon6jg |
 | 99 realpg PRO redis dump 恢复覆盖了 ssh 密钥吧…… 话说,基本上发生这个问题的都是 centos , ubuntu server 表示鸭梨不大…… |
| 100 realpg PRO 卧槽没打完就发出去了 生产服务器,还是找个专业运维吧,怎么说这种基础的常见漏洞天天摆弄服务器的人都知道。 本质上这都不是漏洞 |
Select Language