看看攻击来源
其实这个是我自己...
- 下面就是重量级了
咦?111.182.13.222不是我自己吗?。。。怎么认为我是黑客...但是这个登陆时间又确实是警报时间,很疑惑。这实在是不懂了。
看时间的话只有redis-server衍生出的几个.rdb文件与警报时间相符,想到了我的redis服务对任何ip开放并且没有设置密码...不攻击我攻击谁......
解决
这次入侵说实话,比昨天那个挖矿脚本要恐怖的多。不露声色,cpu和主存一切正常,要不是阿里云给我发安全警告,我根本不会察觉。我觉得潜伏的太深了,自己没有本事把病毒清理干净,便立马停止服务器,恢复快照到了昨天遭受病毒前的时候——还好我的瑞吉外卖刚部署成功我就拍了快照。
恢复快照以后。为了不重蹈覆辙,第一时间:
- 开启了防火墙,并设置了自启动
- 将root用户密码改的极为复杂,密码生成器生成的
- 给redis设置了密码,准备设置bind来指定ip访问的,但一指定岂不是只有我自己能使用瑞吉外卖了,便还是0.0.0.0不限制ip
- 最后给防火墙开端口,3306,8080,6379,没有开22(有个疑问为什么不开22我的finalshell仍然可以连上服务器)
如此以后,好像风评浪静了许多
事后
发现了个好玩的位置
杀千刀的top1:179.60.147.122
我直接去安全组禁了他
