发个帖求助下，阿里云服务器被勒索

2016-04-18 10:49:33 +08:00

hyperdak

昨天发现服务器连接不上今天去阿里云看了下，发现居然被停止了，手动启动了一下，登陆服务器就发现了Hi, please view: http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq for further information in regards to your files!这个东西

http://pastie.org/pastes/10800563/text?key=hzzm4hk4ihwx1jfxzfizzq

这个东西勒索 3BTC

另外阿里云的策略简直可怕，以前开了自动快照的，发现被黑的时候我还觉得无所谓，反正有快照，结果一去看快照，数量居然是 0.

提了个工单，告诉我，新快照系统还的再次设置，以前设置好的快照策略居然就直接下线了。

15217 次点击

所在节点

云计算

102 条回复

Marser

2016-04-18 14:17:18 +08:00

一千万准备好了么？亲

yeqiu

2016-04-18 14:27:58 +08:00

这种事，阿里云没有责任么？服务器提供商难道没有责任保护服务器不受攻击么？

疑问句，不是反问句！

laukwanchan

2016-04-18 14:31:59 +08:00

楼上回复的朋友们你们准备好 1000W 了没？反正我没有，我也不说云里阿。

仅仅安慰楼主：以后要养成定期备份的习惯，以及要随时监控服务器状态的反馈。

XuanYuan

2016-04-18 15:00:31 +08:00

1 、准备好比特币，参见我的经历：/t/146340
2 、准备好 1000 万……

jiziya

2016-04-18 15:13:20 +08:00

之前我的也被黑了，后来恢复过几次快照，然而并没有什么卵用，然后。。。就重装系统了。

分析被盗的原因，可能有几点：
1. 一直是 root 密码登录；
2. 下载过乱七八糟自己也不知道到底什么用的脚本，本来是想尝试自签 let 证书的，唉。

pupboss

2016-04-18 15:27:19 +08:00

@hyperdak
@babytomas
七牛官方提供一个可执行的二进制文件，然后我是用 bash 打包，再调用这个二进制文件实现备份和过期文件删除

wh0syourda66y

2016-04-18 15:28:43 +08:00

没有一千万憋说话

aliyun123

2016-04-18 15:36:54 +08:00

楼主您好，服务器问题如电话沟通，建议您先检查服务器的应用是否存在安全漏洞，如有漏洞问题请尽快及时修复，以免造成不必要的损失！阿里云的安全产品可以将安全问题防患于未然，针对您出现的这个问题，可以使用服务器安全托管服务，请参考 https://www.aliyun.com/product/mss/；关于快照的问题我们在 3.15 号上线了 ECS 快照 2.0 服务，旧的快照策略下线前我们已经邮件和短信通知您，需要您到 ECS 控制台设置快照 2.0 的自动快照策略，快照 2.0 服务的自动快照才能自动执行，具体可以参考： https://help.aliyun.com/noticelist/articleid/13075669.html?spm=5176.789004749.n2.7.gUDuIe

hicdn

2016-04-18 15:44:08 +08:00

楼主准备好一千万了吗

hyperdak

2016-04-18 15:44:33 +08:00

@XuanYuan 这边准备购买 BTC 了，请问一下，这种情况，我支付了 btc 之后，那边黑客会如何和我联系？

我查看了一下他的 address ，今天已经收到了一笔 3BTC 了，他如何确认是哪个服务器的所有人支付的？

给那边提供的邮箱发了 email ，也不见回复我。

evitceted

2016-04-18 15:48:25 +08:00

目测楼主有钱

ThreeBody

2016-04-18 15:57:45 +08:00

@aliyun123 这个客服在说废话？说了跟没说一样

pimin

2016-04-18 16:09:11 +08:00

3BTC VS 1000w ¥
问：谁是强盗？

hyperdak

2016-04-18 16:12:04 +08:00

@ThreeBody 这个客服倒不是说废话，和我电话联系过了，然后帮我排查了一些问题，但是数据那边的删除就没痕迹了。也是他们帮我确认的是 redis 的漏洞问题。

= =我这现在正在焦头烂额准备买 BTC ，但是又担心数据的恢复问题。

ThreeBody

2016-04-18 16:43:13 +08:00

@hyperdak 他在电话可能给你解决，但是我第一次看这个帖子，这个回复只是安全提醒类型，事前说的才有用

congeec

2016-04-18 16:50:58 +08:00

@ifconfig
@azh7138m
@tangzhehao
以前有 zmap 的时候就可行了，现在有更先进的 masscan
直接扫描开 redis 机器，扫到了尝试一下呗

xifangczy

2016-04-18 17:10:06 +08:00

才 3BTC 而已。。。要不然你就给 1000w

Felldeadbird

2016-04-18 17:39:49 +08:00

那么问题来了，我记得阿里云不是有云盾么。怎么这个洞没发现出来？
遥想上次公司搬服务器，里面有一个 ecshop 的程序（不会运行的）。阿里云马上发短信来说“亲，您的服务器有一个 ecshop 的安全漏洞”。。。

tSQghkfhTtQt9mtd

2016-04-18 18:13:27 +08:00

@russj
@BOOM
@lansexinyu
1000w /t/271849

cpp255

2016-04-18 19:19:29 +08:00

1000W 今天占了 2 个热议了。

第 4 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/271910

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.