阿里云服务器中毒‘Kirito666’经历

尊敬的 xxx：

云盾云安全中心检测到您的服务器：服务器出现了紧急安全事件：恶意脚本代码执行 。

早上阿里就一直给我发来这样的消息，让我一脸懵逼，当时还没想到是被黑了。（学编程，但是对于这块区域还算是小白）。

但是阿里一直提醒我，并且强行给我限制了性能。

等到我去连我服务器上的数据库时，一直断，并且非常卡顿，我的伙伴也过来问我怎么了。

这个时候我感到不对劲了（因为我一直比较相信阿里，安全方面应该没事，就觉得没什么关系）。

这个时候我打开了我的xshell。打开docker一看。顿时就精神拉。

发现画红标的这几个镜像，都是莫名奇妙出现的，并不是我自己拉取的。

这个时候我就知道，我可能被入侵了。我拿着这一个个名字去百度，发现已经有前人之鉴啦。

在网上搜到了关于介绍这个攻击的博客

https://blog.aquasec.com/container-attacks-on-redis-servers

看完这篇博客，我就知道我的确被攻击啦（有点小兴奋😍）

第一次被黑掉，甚至想要学习。哈哈

修复过程：

了解防御就要了解攻击，在网上寻找到批量提权未授权redis的py脚本

https://evi1cg.me/archives/hackredis.html

以及主作者的github项目https://github.com/Ridter/hackredis

可以看出关键就是这段匹配代码

 ssh = pexpect.spawn('ssh root@%s -p %d' %(host,ssh_port))
    i = ssh.expect('[#\$]',timeout=2)

分析得知实施攻击成功的条件就是

1.Redis服务使用ROOT账号启动

2.Redis服务无密码认证或者使用的是弱口令进行认证（爆破不是问题，我就用了4位数，哈哈）

3.服务器开放了SSH服务，而且允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器。

以后的注意事项就是redis不要开放到公网上，通过内网访问。单独开一个用户，并给redis设置强口令。

了解之后

我就把这些所有相关的容器、镜像都删除了。删除完目前是没有什么问题。

建议大家可以去阿里云去装个监控插件、阿里云下一代防火墙、阿里云安全管家服务等等。免得再次被打。捂脸🐱‍🏍