前段时间穷极无聊浏览大神博客时无意中点击到了旁边的服务器广告,该广告大概意思是学生租他们服务器一个月10块,想本屌早已毕业,想着这东西跟咱也是无缘了,但鬼使神差的就突然想试试,看他们咋个校验本屌是不是学生,就点击了付款。。。结果。。。TMD被骗了,根本没校验。。。本屌莫名其妙就通过了。。。从此本屌就有了一个学生云服务器。
本着钱花了不能浪费的原则,本屌是个搞java的,就在这台服务器上搭了一整套环境,jdk+tomcat+mysql+kafka+zookeeper+redis+和一个jenkins…原本还想搞个sonar但内存实在不够用就放弃了。。
言归正传,故事起始是本屌昨天在本地跑了一个项目,因为项目要用到redis,然后嫌麻烦,想着就这破草履虫服务器应该也没人看得上,就直接把服务器上的redis无密码远程连接打开了。。。不要问为啥没打开密码。。。因为懒。。。但现实马上就给与了本屌沉重的一击。。。
今天早上一大早就接到了运营商发来的警告短信。。。本屌的草履虫被黑了。。。
MDZZ
登陆控制台
登陆服务器,输入top命令
呵呵哒,还真被黑了。。。一顿乱查,最后结果,本屌的服务器被人黑了当矿机了,好像是挖什么门罗币,具体过程https://cloud.tencent.com/developer/news/158056 跟这篇文章里的大神遭遇类似,简单说就是黑客全网扫描6379端口,用无密码登陆或暴力破解的方式连接上redis,利用了 redis 把缓存内容写入本地文件的漏洞,在服务器的/root/.ssh/authorized_keys文件中写入公钥,在用本地的私钥去登陆被写入公钥的服务器,就无需密码就可以登陆服务器了,这个时候他就可以为所欲为了。。。
找到原因,问题就好解决了,黑本屌的那位大哥没有上面链接里那位大神遇到的那么难缠,没有定时任务,也没有开机启动项也加入下载脚本命令。
我把redis关掉改回配置,
kill掉挖矿线程,删掉挖矿软件
删掉写入的远程连接公钥,就已经把问题解决了
本屌这次遭遇相对简单,各位还是看各位自己的情况,选择不同的解决方案。最后再附一张lastb 命令后的截图,本屌的小破服务器真是无时无刻不再在被各种大仙扫描,不得不说一句,本屌之前想简单了,网络环境还真不是那么好,最后感谢https://cloud.tencent.com/developer/news/158056这位大神。。。。。。。。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
