尊敬的 xxx:
云盾云安全中心检测到您的服务器:服务器出现了紧急安全事件:恶意脚本代码执行 。
早上阿里就一直给我发来这样的消息,让我一脸懵逼,当时还没想到是被黑了。(学编程,但是对于这块区域还算是小白)。
但是阿里一直提醒我,并且强行给我限制了性能。
等到我去连我服务器上的数据库时,一直断,并且非常卡顿,我的伙伴也过来问我怎么了。
这个时候我感到不对劲了(因为我一直比较相信阿里,安全方面应该没事,就觉得没什么关系)。
这个时候我打开了我的xshell。打开docker一看。顿时就精神拉。
发现画红标的这几个镜像,都是莫名奇妙出现的,并不是我自己拉取的。
这个时候我就知道,我可能被入侵了。我拿着这一个个名字去百度,发现已经有前人之鉴啦。
在网上搜到了关于介绍这个攻击的博客
https://blog.aquasec.com/container-attacks-on-redis-servers
看完这篇博客,我就知道我的确被攻击啦(有点小兴奋😍)
第一次被黑掉,甚至想要学习。哈哈
修复过程:
了解防御就要了解攻击,在网上寻找到批量提权未授权redis的py脚本
https://evi1cg.me/archives/hackredis.html
以及主作者的github项目https://github.com/Ridter/hackredis
可以看出关键就是这段匹配代码
ssh = pexpect.spawn('ssh root@%s -p %d' %(host,ssh_port))
i = ssh.expect('[#\$]',timeout=2)
分析得知实施攻击成功的条件就是
1.Redis服务使用ROOT账号启动
2.Redis服务无密码认证或者使用的是弱口令进行认证(爆破不是问题,我就用了4位数,哈哈)
3.服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。
以后的注意事项就是redis不要开放到公网上,通过内网访问。单独开一个用户,并给redis设置强口令。
了解之后
我就把这些所有相关的容器、镜像都删除了。删除完目前是没有什么问题。
建议大家可以去阿里云去装个监控插件、阿里云下一代防火墙、阿里云安全管家服务等等。免得再次被打。捂脸🐱🏍
自言自语
我是为了方便自己开发,就省去了redis的密码,一定要注意这种安全问题,别再像我这样,被吊起来打。
防人之心不可无,更何况在网络这个虚拟世界中。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
