重要文件服务器被入侵

摸鱼小熊猫

本帖最后由 摸鱼小熊猫 于 2018-3-5 15:00 编辑

ultravps.eu家的小鸡

感觉很稳定，用来做文件服务器，还可以通过该服务器无秘访问其他几个小鸡（其他几个小鸡没事，但是以防万一也重做系统了）

该小鸡放了好几个网站，被入侵时候，
    可以访问网站有：
        owncloud，aria2，wetty，nginx反代服务器 以及rocketchat（聊天服务器被入侵时候处于关闭状态）
    安装的数据库有：
        mysql，mongo

补充：
以上所有网站包括nginx反代服务器以及数据库都用容器运行，而且分散在不同的容器中


结果昨天下午top发现一个进程不太对劲，资源占用偏高，去查了一下发现是扫描漏洞的程序！
简单查了下，该进程没有对应磁盘文件，完全驻留在内存中，小菜菜也没找到入侵线索，猜测可能root口令被破解了
赶紧kill进程，关机，打算今天到公司来处理

结果今天早上开不了机了，去查了邮箱发现接到ultravps邮件
[pd #1377021] CID: 30648; CloudServer 69.xxx.xxx.xxx; malicous activity
机器被suspend了！

刚工单提交暂时解封了，开机后到是没有发现异常进程
怕scp被记录密码，vultr临时开了台机子做文件中转

被入侵是密码是9位，有字母数字特殊字符，感觉也不算是弱口令了
到现在也不知道黑客从哪里进来的！mmmmmmmp

logic90

aria2没有做安全配置？

摸鱼小熊猫

logic90 发表于 2018-3-5 14:55

aria2没有做安全配置？
正常配置啊 没有给别人rpc还是什么码

冻猫

更新下系统呗，aria2别用root权限运行

liuxu

从不用密码登录，都是用密钥

左手写爱

linux服务器被入侵一般是用的软件有漏洞


CP也不保险啊，有一次就被一个反战黑客黑了，去他大爷的

摸鱼小熊猫

冻猫 发表于 2018-3-5 14:58

更新下系统呗，aria2别用root权限运行
奇怪了，aria2拿到root也是容器root，不应该拿到小鸡的权限啊

iggfree

莫不是前段时间的 mongo 配置漏洞 ?

88232128

目测aria2被入侵