您当前的位置:首页 > 计算机 > 安全防护

阿里云服务器中毒‘Kirito666’经历

时间:06-13来源:作者:点击数:

尊敬的 xxx:

云盾云安全中心检测到您的服务器:服务器出现了紧急安全事件:恶意脚本代码执行 。

在这里插入图片描述

早上阿里就一直给我发来这样的消息,让我一脸懵逼,当时还没想到是被黑了。(学编程,但是对于这块区域还算是小白)。

但是阿里一直提醒我,并且强行给我限制了性能。

等到我去连我服务器上的数据库时,一直断,并且非常卡顿,我的伙伴也过来问我怎么了。

这个时候我感到不对劲了(因为我一直比较相信阿里,安全方面应该没事,就觉得没什么关系)。

这个时候我打开了我的xshell。打开docker一看。顿时就精神拉。

在这里插入图片描述

发现画红标的这几个镜像,都是莫名奇妙出现的,并不是我自己拉取的。

这个时候我就知道,我可能被入侵了。我拿着这一个个名字去百度,发现已经有前人之鉴啦。

在网上搜到了关于介绍这个攻击的博客

https://blog.aquasec.com/container-attacks-on-redis-servers

在这里插入图片描述
在这里插入图片描述

看完这篇博客,我就知道我的确被攻击啦(有点小兴奋😍)

第一次被黑掉,甚至想要学习。哈哈

修复过程:

了解防御就要了解攻击,在网上寻找到批量提权未授权redis的py脚本

https://evi1cg.me/archives/hackredis.html

以及主作者的github项目https://github.com/Ridter/hackredis

可以看出关键就是这段匹配代码

 ssh = pexpect.spawn('ssh root@%s -p %d' %(host,ssh_port))
    i = ssh.expect('[#\$]',timeout=2)

分析得知实施攻击成功的条件就是

1.Redis服务使用ROOT账号启动

2.Redis服务无密码认证或者使用的是弱口令进行认证(爆破不是问题,我就用了4位数,哈哈)

3.服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。

以后的注意事项就是redis不要开放到公网上,通过内网访问。单独开一个用户,并给redis设置强口令。

了解之后

我就把这些所有相关的容器、镜像都删除了。删除完目前是没有什么问题。

建议大家可以去阿里云去装个监控插件、阿里云下一代防火墙、阿里云安全管家服务等等。免得再次被打。捂脸🐱‍🏍

方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门