阿里云服务器第二次中毒被勒索了

不会是用了破解版的主题把

第一次被勒索后，重建系统了么？

为什么要强调“阿里云服务器”？关键是自己的安全没做好。

没 get 到一定要加一个阿里云的关键词是啥意思

建议自查一下：

1 防火墙开了没有，没用的端口是不是没开

2 ssh 是不是默认 root 登录 是不是没用私钥|证书登录 是不是没有 fail2ban 类似的防御机制

3 系统有没有什么不明可执行文件，包括不限于网上不知道哪里找的破解版，绿色版

4 查一下当前使用的软件是不是有什么已知高危漏洞，有没有修复更新

一般都是 redis 空密码然后开放端口。正常情况不会。我用了这么久都没遭过。

阿里云肯定给你发过安全告警，这些检测都是基本能力，除非你把 agent 给卸载了

大概率：弱口令 ssh or redis 无密码 /弱密码

找到相同案例，检查一下你的 redis 有没有密码吧
https://juejin.cn/post/7070746819680026661
https://blog.csdn.net/qq_34870166/article/details/122667119
https://www.freebuf.com/vuls/341309.html

备份数据，系统重做。
这种勒索程序，一般程序挂程序，很难清理干净。

不该开的端口不要开。真要跑一堆需要互联的服务建议端口白名单或者 docker 网络。

准备重置系统，然后使用 docker 部署常用服务，mysql ，redis 密码都设置复杂点

端口只开 80 443

这不是自己安全的问题吗？跟云厂商有什么关系？第一次中毒后就应该加强安全配置

我一个没用的服务器，只开放了几个端口，ssh 是用证书登录的，没用启动任何服务。然后就突然被挖矿了，我感觉阿里云应该有问题。至今都很好奇，到底他们是怎么入侵的。

使用第三方的服务，往往容易有些通用的漏洞，看下日志就知道发布在公网的服务器被扫描了多少公共型路径

为什么要强调“阿里云服务器”？自己菜别怪云厂商

如果你观察过 nginx 日志，你会发现大堆的路径扫描的日志，这个同样 的道理；

随便找的：

152.89.196.211 - - [22/Feb/2023:13:39:20 +0800] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
89.248.163.213 - - [22/Feb/2023:13:49:16 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00" 400 157 "-" "-"
152.89.196.211 - - [22/Feb/2023:13:57:51 +0800] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 404 187 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"

@timnottom 我想说的是，网上大堆扫描脚本，专门干这种事

好像是数据库漏洞，不要用 3306 ，换掉端口。

@xqk111 openssl 是需要更新的,我之前的公司 openssl 没有更新服务器被攻击直接就无法访问了,重启之后都无法启动了

vps 部署脚本
https://github.com/zarte/vps_deploy
默认不关 firewall ，后续需要的端口再手动添加允许。

@skip666 你直接把数据库端口关了不行吗？数据库只允许本地访问,然后开发需要连接数据库走 shell 连接。

typecho 用的什么版本，这个老版本也有反序列化漏洞

人不行怪路不平

自己不会玩怪厂商?

这里没有怪服务商的原因，只是发文说下这个扫描端口的也太快了，第一次 typecho 数据库被劫持，应该数据库密码太简单被扫描破解的。这次是刚装了个 redis ，没设密码，然后几个小时内就把挖矿脚本搞进来了，数据库也被清除了。服务器当时买的就是测试学习用的，也就偶尔用下，没碰到过这种中毒勒索。

楼上都是阿里云的分销商么 OP 只是阐述经过而已 有必要这么激动么

@skip666 为啥要把数据库和 redis 的端口往公网开放？

Linux ？还是 WIN?

@Ritter #28 ，不是分销商，是太多这种案例了，我都碰到几次，今儿个 mongo 被加密了，明儿个服务器被黑了
这怪不得云厂商

自己云的安全控制没弄好

保持 最小权限

你这敞开大门。

redis 不公网访问也会有这个问题吗?

@salmon5 mongo 还是恶心啊,居然用 27017 这个端口,他就不能 8000 以下的端口吗

这种一般是你代码里面有病毒，下代码的时候小心一点

感觉现在放在互联网上的机器，每时每刻都在受到扫描。一旦有个弱口令，很快就会被挖矿或者勒索。。。

1.这种云服务器，SSH 需要用强密码 + fail2ban ，SSH 与 开放公网的业务端口，需要使用 IP 白名单来限制访问者的地理区域。

2.数据库的端口不能开公网，需要使用防火墙，只允许本机访问，数据库密码倒是不需要强密码，因为如果机器被黑，数据库密码强不强都无所谓了。

3.重要数据，做好每日远程备份。

自己没有安全意识的话，用什么云服务器都一样。安全和方便总是背道而驰的，图用着方便，设置弱口令、开放 root/纯密码登录、防火墙全关、数据库直接开放给公网等操作，给自己带来方便的同时也给攻击者带去方便。公网不像家庭网络还有 ISP 的 NAT 给你套了层"防护"，脚本小子和恶意扫描太多了。

没事别用 root 跑，我对于这种东西都用 daemon 账号跑，被入侵了也问题不大
现在网上一堆一键脚本全是用 root 在干活

中国电信宽带接入的家用机第 x 次中木马被勒索了[狗头]

先不说云，光是自己家的公网 IP ，我已经主动屏蔽外国的 IP 了。扫描真是让人头大

之前不小心开过 redis 端口，第二天就被满 cpu 挖矿了，直接还原备份

我也被搞了，不过只是测试用的，全是空表一点数据都没有