2021-12-30 0点35分
手机微信,腾讯云助手收到了一条通知,是这样的
点进去一看,好家伙,攻击其他服务器端口???(囧)这事儿咱可没做过,但是呢,出于一个程序员的本能,我当即就怀疑了腾讯云,这丫的不是误判就是发错了,正准备入眠了又仔细想了想,6379?这端口看着眼熟啊,这事儿咱不能不理,于是乎当即在微信中点击关闭运行,并放下手机进而冬眠 : )
2021-12-30 8点半 ~ 18点半
上班ing,因为对接的设备推送数据被加密了,且厂商没有给出好的解决方案,所以白忙活了一天,并加了半小时的义务班,不过上班时候也查了查这云服务器的事,大概都是:服务器登录弱口令
、安装的redis服务使用了默认配置
等等(好家伙,我倒是全占了,redis因为是在安装的gitlab服务中内置的,所以咱没去动它)。
redis在 不设置密码
、不限制访问ip(0.0.0.0)
、不修改默认端口
、Redis进程是由root用户启动
的情况下,容易被外部通过访问入侵,然后干一系列的坏事:创建隐藏用户、提高用户权限、篡改服务器脚本、创建隐藏文件、创建定时任务、创建病毒脚本……
腾讯云Linux入侵问题排查文档
cloud.tencent.com/document/pr…
一位网友致电客服解决问题的过程
blog.csdn.net/KeepLearnZh…
晚上,now
重启凌晨时候关闭的 CentOS 实例,关闭了自启动的gitlab(期间一直stop失败,有几个服务总是timeout,于是关闭开机自启,又重启了云服务器),重启后,cpu过会儿就被打满,使用 top
命令也看不到占用cpu的进程
输入 crontab
提示没权限(怒,baba可是root),然后使用 crontab -e
查看定时任务,发现有个任务脚本 */30 * * * * sh /etc/newinit.sh >/dev/null 2>&1
每隔30分钟执行,「newinit.sh」链接:www.aliyundrive.com/s/hfDLdL57c…,懂得朋友可以看看,里面到底卖的啥药?
怎么处理呢
现在一启动,过不了一会cpu就会打满,执行指令也非常慢,尝试删除过定时任务和脚本、修改内容等等,执行过后还是会恢复原样,最关键的是不知道被修改了多少脚本,放了多少隐藏的病毒程序,解决不了,基本只能重置了。
不过为了保障安全,在用的朋友可以加一些防火墙规则,限定固定IP等等,有想要配置服务内的防火墙规则可以参考参考链接:juejin.cn/post/704195…