尊敬的 xxx：

云盾云安全中心檢測(cè)到您的服務(wù)器：服務(wù)器出現(xiàn)了緊急安全事件：惡意腳本代碼執(zhí)行 。

早上阿里就一直給我發(fā)來(lái)這樣的消息，讓我一臉懵逼，當(dāng)時(shí)還沒(méi)想到是被黑了。（學(xué)編程，但是對(duì)于這塊區(qū)域還算是小白）。

但是阿里一直提醒我，并且強(qiáng)行給我限制了性能。

等到我去連我服務(wù)器上的數(shù)據(jù)庫(kù)時(shí)，一直斷，并且非常卡頓，我的伙伴也過(guò)來(lái)問(wèn)我怎么了。

這個(gè)時(shí)候我感到不對(duì)勁了（因?yàn)槲乙恢北容^相信阿里，安全方面應(yīng)該沒(méi)事，就覺(jué)得沒(méi)什么關(guān)系）。

這個(gè)時(shí)候我打開(kāi)了我的xshell。打開(kāi)docker一看。頓時(shí)就精神拉。

發(fā)現(xiàn)畫(huà)紅標(biāo)的這幾個(gè)鏡像，都是莫名奇妙出現(xiàn)的，并不是我自己拉取的。

這個(gè)時(shí)候我就知道，我可能被入侵了。我拿著這一個(gè)個(gè)名字去百度，發(fā)現(xiàn)已經(jīng)有前人之鑒啦。

在網(wǎng)上搜到了關(guān)于介紹這個(gè)攻擊的博客

https://blog.aquasec.com/container-attacks-on-redis-servers

看完這篇博客，我就知道我的確被攻擊啦（有點(diǎn)小興奮😍）

第一次被黑掉，甚至想要學(xué)習(xí)。哈哈

修復(fù)過(guò)程：

了解防御就要了解攻擊，在網(wǎng)上尋找到批量提權(quán)未授權(quán)redis的py腳本

https://evi1cg.me/archives/hackredis.html

以及主作者的github項(xiàng)目https://github.com/Ridter/hackredis

可以看出關(guān)鍵就是這段匹配代碼

ssh = pexpect.spawn('ssh root@%s -p %d' %(host,ssh_port))i = ssh.expect('[#\$]',timeout=2)

分析得知實(shí)施攻擊成功的條件就是

1.Redis服務(wù)使用ROOT賬號(hào)啟動(dòng)
2.Redis服務(wù)無(wú)密碼認(rèn)證或者使用的是弱口令進(jìn)行認(rèn)證（爆破不是問(wèn)題，我就用了4位數(shù)，哈哈）
3.服務(wù)器開(kāi)放了SSH服務(wù)，而且允許使用密鑰登錄，即可遠(yuǎn)程寫(xiě)入一個(gè)公鑰，直接登錄遠(yuǎn)程服務(wù)器。

以后的注意事項(xiàng)就是redis不要開(kāi)放到公網(wǎng)上，通過(guò)內(nèi)網(wǎng)訪問(wèn)。單獨(dú)開(kāi)一個(gè)用戶，并給redis設(shè)置強(qiáng)口令。

了解之后

我就把這些所有相關(guān)的容器、鏡像都刪除了。刪除完目前是沒(méi)有什么問(wèn)題。

建議大家可以去阿里云去裝個(gè)監(jiān)控插件、阿里云下一代防火墻、阿里云安全管家服務(wù)等等。免得再次被打。捂臉🐱?🏍

自言自語(yǔ)

我是為了方便自己開(kāi)發(fā)，就省去了redis的密碼，一定要注意這種安全問(wèn)題，別再像我這樣，被吊起來(lái)打。

防人之心不可無(wú)，更何況在網(wǎng)絡(luò)這個(gè)虛擬世界中。

總結(jié)

以上是生活随笔為你收集整理的阿里云服务器中毒‘Kirito666’经历的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。