30日tataufo技术部团建,本来是个好日子,没想到竟然是悲剧的开始。
晚上到家,同事告诉我有用户反馈以用户名义发送了好友邀请的短信。
难道上次的bug接口被执行了? 登录云主机,发现根目录下有异常文件,居然文件名是Jave,用户组是redis,TMD!
检查所有的链接端口, 发现有来自 5.18.127.3 的 ssh 链接,黑客攻击!检查所有拥有 redis 用户权限的程序, 检查所有的crontab,检查 30日的有更新的所有文件,发现存在诸多不明文件。
同时,/mnt 挂载盘下的所有文件都有改动过的迹象,其中包括向通讯录用户发送好友请求短信的接口脚本。在上一次升级(3.1.5)中,存在一个bug,该脚本如无输入参数,将向所有通讯录好友发短信,靠,OMG!莫非那个家伙执行了这些脚本!
/tmp 下的鬼更多,moni.1 ! 居然是臭名昭著的莱特币挖矿程序!
立即强行kill, 删除redis 用户,删除所有不明文件,恢复用户的相关数据,…… 系统应该正常了。
安全,安全, 云服务器的安全更要重视!反思一下: