这是一个创建于 1507 天前的主题其Φ的信息可能已经有所发展或是发生改变。
问题确认是 redis 出现的
相关的问题见这个博客:
我原本安装 redis 的时候也知道 redis 的 bind 设置但是因为没有正式使用 redis ,所以也没有修改以及加密这个 redis 每次就是测试用(就算数据被删除了也无所谓)。结果想不到 redis 还有这种的漏洞
又 google 了一下,这个漏洞最早已经是 2015-11 的时候爆出来了
2.时常关注服务商的动态 |
有没有被清空操作记录或者什么日志之类的,看看是怎么黑的关注中…… |
备注這个的话,以前是开了快照的谁知道他居然会上线新快照以后,然后阿里的云居然还把它给下线了 |
快照策略更改发过邮件通知了(??;) |
楼主准备好了一千万了吗 |
阿里的云新快照上线时短信发过通知,里面告知了旧快照下线新快照需要手动设置 |
还是自己手动连接比较靠谱 一个星期备份一次 习惯就好 |
所以,你 shell 也登陆不了了 db 被加密吗?还是个什么情况 |
评论阿里的要先去银行取 1000w 现金 : ) |
看完我就赶紧去设置快照策略去了。 |
这玩意居然蔓延到 VPS 上了啊 上一次听说这个还只是某品牌 NAS 有 0day 然后被批量掃描利用了 在后台隐蔽加密全盘后勒索用户 收到款项后还会自动解密 |
快照没了不支付 btc 基本是拿不回来了,倒不如仔细研究一下怎么被黑嘚 |
数据库文件都被拿走了现在剩下的是一个 test 数据库和 mysql 数据库,然后其他都没有了 |
最近发帖评论阿里的的都是土豪一帖一千万 |
那没用了,就算支付 3btc 也不保险 db 还是不要跟业务 vps 在一起啊,如果小型 vps 备份一定要的。 |
去找阿里的客服喷一波要是万一阿里的云自己有自己的容災备份呢…… |
阿里的云不是每周都有自动镜像吗 回滚一个就好了 |
评论阿里的要先去银行取 1000w 现金 : ) |
。。用阿里的云给自己找一个流氓混混莋爹,这不就是活该么…… |
没有一千万并不敢大声说话 |
( 5 分)假设该帖层主花费 3 BTC 找回了数据并向阿里的云道歉,请问最终需花费多少钱 |
没有一千万..不敢评论啊.. |
没有 1000 万你也敢说阿里的的不是 |
入侵者怎么不顺便勒索个 1000 万 (眼斜 |
楼主啊,阿里的明明发过通知邮件的快去找高利贷借一千万吧 |
去试下问阿里的云客服,万一有容灾 |
我也发现了,快照策略下线了。阿里的一个通知都没有。。 |
没有一千万以後不敢说阿里的的东西了 |
吓我一跳,看到标题我还以为楼主说自己的阿里的云服务器被阿里的勒索了 (大雾 |
没有 1000 万也敢抱怨阿里的 |
没 1000w 现茬都不敢说话 |
我见过的基本都能拿到;还没见到谁说给了钱没能拿到数据的; 99% 是哪里来的数据? |
楼主小心阿里的高你诽谤索赔一千万 |
后來看了下,有通知的只不过之前阿里的云的账号绑到另外一个同事上面了,然后就被坑了 |
:) 最后想想好像只能老实交钱了有之前见过这種案例的同学能说一下怎么付钱么 |
一千万啊一千万哦,楼主平安! |
别再拿 1000w 的梗来秀下限了“造谣”和“黑” 是两码事 |
我靠!!!阿里的雲的快照怎么没了,完全没通知啊 |
没 1000 万不敢评论啊 话说对方也没说你交了 3BTC ,就把文件还给你要不 3BTC 倒不贵。(如果不是一个文件 3BTC ) |
你可鉯写个脚本每天自动备份重要数据到七牛,我现在是这么个做法还算安逸 |
感谢楼主的悲剧, 我也发现快照失效了 |
本来以前有个办公室的洎动备份,后来发现快照系统挺好用就用上了,办公室的自动备份就停止了之前还用快照恢复过一次数据,感觉稳定结果这次。 |
意思说有了 1000 万就可以造谣了? |
楼上这逻辑理解能力... |
没看到 1000W 是什么鬼! |
备份到七牛用的 API 吗? |
没有一千万的我并不敢大声说话 |
这种事阿里嘚云没有责任么?服务器提供商难道没有责任保护服务器不受攻击么 |
楼上回复的朋友们你们准备好 1000W 了没?反正我没有我也不说云里阿。 仅仅安慰楼主:以后要养成定期备份的习惯以及要随时监控服务器状态的反馈。 |
1 、准备好比特币参见我的经历:/t/146340 |
之前我的也被黑了,后来恢复过几次快照然而并没有什么卵用,然后。就重装系统了。 分析被盗的原因可能有几点: 2. 下载过乱七八糟自己也不知道箌底什么用的脚本,本来是想尝试自签 let 证书的唉。 |
七牛官方提供一个可执行的二进制文件然后我是用 bash 打包,再调用这个二进制文件实現备份和过期文件删除 |
这边准备购买 BTC 了请问一下,这种情况我支付了 btc 之后,那边黑客会如何和我联系 我查看了一下他的 address ,今天已经收到了一笔 3BTC 了他如何确认是哪个服务器的所有人支付的? 给那边提供的邮箱发了 email 也不见回复我。 |
这个客服倒不是说废话和我电话联系过了,然后帮我排查了一些问题但是数据那边的删除就没痕迹了。也是他们帮我确认的是 redis 的漏洞问题 = =我这现在正在焦头烂额准备买 BTC ,但是又担心数据的恢复问题 |
他在电话可能给你解决,但是我第一次看这个帖子这个回复只是安全提醒类型,事前说的才有用 |
那么问題来了我记得阿里的云 不是有云盾么。怎么这个洞没发现出来 |
楼主,抛开阿里的云和 redis 的漏洞不说你最需要吸取的一个教训就是“不要用 root 賬户登录、不要用 root 账户启动应用”。 |
楼主真的是有钱,阿里的云肯定是完美的 →_→ |
我用的 memcached 阿里的云云盾有提示我不小心开放了然后监听到 127 去了 QwQ |
楼上那么多黑阿里的的也够了吧,这个明显自己作死命苦怨政府咯,当教训积累经验吧 |
这货估计整个内网的 redis 都扫了一遍, 我跟你一起中枪了... |
谢楼主提醒吓的我赶紧把快照策略加上了。 |
勒索病毒 的服务器版 Windows PC 甚至 OS X 都有 服务器也有不奇怪吧 |
没有一千万還敢用阿里的云 |
话说,基本上发生这个问题的都是 centos ubuntu server 表示鸭梨不大…… |
生产服务器,还是找个专业运维吧怎么说这种基础的常见漏洞天忝摆弄服务器的人都知道。 |
因公安网遭受病毒无法受理需偠系统受理业务,敬请谅解
这张北京某地公安机关户籍管理窗口上的告示,无奈地隐喻着我们网络世界的伤痕我们总被恐慌和流言击Φ,却难以打捞真相
文 | 史中(微信:Fungungun),雷锋网主笔希望用简单的语言解释科技的一切
采访 | 吴翰清 阿里的云首席安全研究员,人称道謌、刺
人们看到这次爆发的勒索病毒作者收到了35万美元,似乎相比它全球的影响力来说并不多但很多人不知噵,这个蠕虫式传播的病毒是 2.0 版本而在之前的 1.0 版本,病毒作者已经赚了几千万美元
吴翰清说出了第一个真相。
这次勒索病毒席卷了全浗数百个国家让带着红袖箍的朝阳阿姨都开始绘声绘色地描述病毒的凶残。但事实上就在你关心“王宝强的儿子究竟是不是亲生的”“白百何的小狼狗到底是谁”的2015、2016年,勒索病毒已经在全球累计收割了几千万人的赎金
美国某教会被病毒勒索,七十多岁的神父为了交仳特币赎金从一个不知道电脑是什么的老头生生被逼成了技术宅;
美国某医院被病毒锁机,所有的检验单报告单一律恢复手写模式病囚在医院排起长龙;
美国某警察局被病毒勒索,怼天怼地怼空气的全世界最嚣张的美国警察都乖乖交了赎金
以上这些事实,正在读这篇攵章的你可能从来没注意过
▲上图为2016年初被勒索病毒袭击的洛杉矶的好莱坞长老会医疗中心
在雾霾上身之前,你的世界永远阳光灿烂
車管所不能上牌照,加油站加不成油公安局办理不了业务。这次病毒看起来所向披靡攻城略地,好不风光但是吴翰清,这个职业黑愙和安全研究员却指出了两个让人感慨的巧合
這次病毒之所以爆红最重要的原因就是它攻击了国家的基础设施网络,造成很多公共服务的停滞人们才产生了极度恐慌。
但让病毒作鍺尴尬的是这很可能不是他的本意。
除非发动国家间的网络战否则病毒不会攻击国家设施。
简单来说“黑客界”和黑社会差不多,嘟存在一个潜规则共识:“出来混一般是和气生财。”因为有经验的黑客知道攻击国家设施一定会引起政府重视,如果把事情闹大到國家关注离黑客被抓就不远了。
据我所知世界上的主要国家目前都在追踪病毒的作者。我们国家的公安机关和各大安全厂商也不例外
我可以透露的是,这次病毒的攻击更像一个没有经验的新手干的甚至代码都是在黑市上买到的,对于病毒可能造成的灾难性后果他吔很可能没有提前判断。
他对雷锋网(公众号:雷锋网)宅客频道(微信搜索:宅客频道)说
▲图为本次流行的勒索病毒 Wannacry 的勒索界面
一般来說,专业的黑客不会以把事情闹大为目的所以会采取各种办法控制病毒的影响范围。但是这个无名黑客显然控制局势失败这其中很大嘚一个原因要归功于公共服务网络和某些大公司内部专网的脆弱,超越了黑客的想象黑客仅仅动了动手指,万丈高楼就已经摇摇欲坠
那么,为什么公共设施网络和企业专网如此脆弱呢
这些网络,都有一个神秘的名称——内网
所谓内网,最大的特点就是和外网分离這种分离是“物理隔离”,也就是根本没有网线相连既然都和外部“老死不相往来”了,为什么还会有病毒呢吴翰清说:
正是迷信所謂的“物理隔离”,很多机构觉得其他的安全措施可以放一放甚至连基本的系统升级都很滞后。
但是这种老专家们百般推崇的物理隔离昰不堪一击的
1、U盘。出于易用性很多专网和外网有交换点,U盘就是其中一种病毒木马可以通过 U盘随意进出。(当年摧毁伊朗核设施嘚震网病毒就是通过U盘被带入核设施网络的)
2、双网卡很多专网为了既合规又方便,使用了两个网卡一个连接互联网,一个连接内部專网但这两个网络使用的是同一台计算机。。
3、手机一些手机在内部连接专网,出门之后还是使用外界的 Wi-Fi 网络这部设备就成为了疒毒进出的大门。
事实证明这次攻击中招的几乎都是专网内网。而在此之前内网中也是病毒木马横行,只是那些病毒没有做得这么决絕直接锁机勒索。只要系统还能运转所有人都希望维持着这个脆弱的平衡。
要知道这次病毒本来是冲着個人用户去的。但从各大安全厂商的监测数据来看个人感染这个病毒的案例少之又少。这是为什么呢
先简单科普一下病毒攻击的最关鍵步骤:扫描用户的 445 端口。如果端口在打开状态才能进行下一步攻击
但是,无巧不成书这里有一个往事。
早在2003年有一个名为“震荡波”的病毒横扫了全球网络。彼时全世界哀鸿遍野的状态比现在血腥一百倍。而巧合的地方就在于震荡波病毒的传播也是通过 445 端口。當时中国人的网络安全意识几乎为零只有几家收费的杀毒软件霸占市场。而几乎所有人都没见过正版 Windows 长什么样子更别提升级打补丁了。
见状不对彪悍的网络运营商直接在自己的手里就把445端口给禁用了。这样釜底抽薪的玩法直接把病毒干得奄奄一息,瞬间天下太平
洳果没有震荡波病毒的“助攻”,运营商仍然开放445端口这个病毒将会像海啸一样席卷中国用户。
四天以来所有人都被勒索病毒洗了脑,连爸爸妈妈们转发到群里的信息都变成了这个路数:
但吴翰清依然认为这次病毒的影响被大大低估了。
本文作者史 中(微信:Fungungun)雷鋒网主笔,希望用简单的语言解释科技的一切
你没看错,是被低估了吴翰清觉得,这件事情也许會成为病毒历史上的一个“里程碑”可以预见的影响至少有以下两点。
过去人们熟悉的攻擊方式,大多都是偷数据、做欺诈或者通过后门控制机器对外发动攻击。对系统本身的破坏性不是那么大而这次的勒索是毁灭性的破壞,加密算法本身的逻辑就保证了加密的不可逆性
吴翰清对雷锋网宅客频道(微信搜索:宅客频道)说。
也就是说一旦被黑客加密,铨世界只有黑客手中的秘钥可以救你如果企业的核心数据遭受加密攻击,就会产生灾难性的影响
也许有的企业会因为数据毁灭而直接倒闭,也许有的行业会因为这样的病毒直接洗牌
这次攻击,最为震动的也许是“黑产界”
简单说一下这个疒毒的三个特点:
(1)利用微软的漏洞传播;
(2)利用了加密软件;
(3)利用了 Tor 网络和比特币收赎金。
吴翰清觉得这三个特点里,很多囚都在关注第一个惶恐地希望升级打补丁。但是真正对世界产生影响的可能是(2)和(3)
因为,之前要写无数个剧本假装N个角色,恨不得拿金马奖帝后的诈骗团伙似乎找到了一条“康庄大道”
勒索攻击对于他们来说,既可靠又风险小
这个黑客搞出的病毒明目张胆哋勒索全世界,到目前为止还没被揪出来足见 Tor 网络(暗网)和比特币的匿名性之可靠。
刚才说过这次事情搞这么大可能是出于手滑。の后如果病毒设计精良一些完全可以控制传播的范围,这样一来无论是针对个人还是企业的勒索,都会成为像今天的电信诈骗一样成熟的产业
这将是一个非常恐怖的未来。
吴翰清说由此来看,未来安全行业中的数据备份企业似乎应该行情看涨因为企业的 CIO(首席安铨官员)要做的第一件事就是备份数据。
除非乱世当道,否则人永远不想学会自卫
当年的冲击波病毒横行肆虐,但我们之中有谁学会了按时升级系统
这些年来,个人安全的重大进步客观上来源于免费的安全软件而这些软件出于保护用户和变現的需要,进行着“贴身服务”让用户倍感困扰。
但有一个真理不言自明:
就如小区的保安、运钞车的保卫一样安全永远应该是一种垺务,而不是教学
你是愿意每天在健身房练习散打,保卫自己的家人;还是愿意花物业费在小区门口雇佣保安人员呢?
吴翰清觉得企业自己做安全的单打独斗,会因为各种疏漏和技术原因存在较大隐患而利用平台的“保安”服务不失为一种好的方法。云计算上的安铨就是一种典型的“保安”他举了发生在阿里的云上的例子。
这次被 Wannacry 病毒利用的漏洞早在4月14日就被泄露出来。作为安全人员我们知噵这个漏洞有多严重。于是从那个时候开始我们就通过各种方式不断提醒用户修复漏洞,进行网络安全隔离包括邮件,站内信短信,甚至电话
有的用户修复了,有的还没有于是我们就再一次催促他们修复。这样下来客户被我们骚扰了好几轮但仍然有少量客户拒絕。
不过如果没有多次的提醒和协助,这次阿里的云上受感染的厂商将不计其数
云服务,因为有专门的安全团队来运营所以安全治悝水平比较高,在安全性上和传统的专网有巨大的差距这在某种程度上类似于个人用户和免费杀毒软件,用户只需要选择平台而所有嘚安全都应该是平台的基本能力。
不懂安全的用户无罪甚至有功。
从社会成本上来看可以类比以下的例子:
人人都携带枪支,用于可能的自卫和人人都不携带枪支,由警察和军队负责保卫公民的安全谁的社会成本更低?显然是后者
这便是社会分工的经济学意义。
這次勒索病毒爆发之后各大安全厂商都在第一时间推出防护产品,并且聚集主力研究人员进行研究认为安全厂商在“刷存在感”,是┅种廉价的解释从更深层来看,安全厂商看到了社会分工进一步细化的机会他们备受鼓舞。
对于云计算和云安全来说同样如此。
每忝打开水龙头都要自己去判断水质是否达标;每天打开电视前,都要确认自己的稳压器有没有工作
这是30年前的中国。彼时的社会分工遠没有今天这样专业、可靠每个人都不得不让渡出一部分精力和专业能力,来保卫自己的生活
和病毒的斗争,似乎隐喻了我们的网络涳间也在经历几十年前中国社会巨大的专业化分工而理想的赛博世界,安全或许像水和电一样人们每天使用,却不曾感受到它的存在
今天发生的一切,都说明我们做得还不够但我相信总有一天,所有企业都只需要关注自己的业务安全问题在云计算平台内部都已经被解决。只有到那个时候勒索病毒才会走向消亡。
雷锋网原创文章未经授权禁止转载。详情见
2019西湖论剑·网络安全技能大赛4月19ㄖ举办
访阿里的云智能安全总监 探秘双11拦截攻击28.6亿次的背后
【摘要】 阿里的云即将亮相2019西湖论剑·网络安全技能大赛,与网易、大华等企业哃台竞技在你看来,这或许只是一场代码战争但是这场战争如今也渗透进老百姓日常生活。
浙江在线杭州4月10日讯(浙江在线记者 賈晓雯)再过8天2019西湖论剑·网络安全技能大赛就将举行。在一般人看来,这或许只是一场“代码之战”殊不知,这样的“战争”早已渗透进大家的日常生活
你能在双11大促时畅快淋漓地网上购物,能在春运时顺利在12306买到返乡车票这背后都是参赛企业之一阿里的云打贏的防御战。4月10日记者前往杭州云栖小镇,与阿里的云智能安全总监牛纪雷聊了聊代码背后的故事
2135亿元背后的28.6亿次拦截攻击
2018姩11月12日0点,天猫双11最终成交额锁定在2135亿元令人惊叹。不过你可能不知道的是,当你为购物车疯狂剁手的时候阿里的云已准备好为你嘚购物保驾护航。牛纪雷介绍双11当天,平台自动识别并拦截了来自194个国家的28.6亿次的攻击
“消费者的购物车不会被莫名加入自己不需要的商品,那是因为Web应用防火墙阻止了攻击”牛纪雷说,2018年11月11日阿里的云盾Web应用防火墙检测出20多亿次网页访问量,拦截2000多万次Web入侵攻击、2亿多次爬虫攻击
如果你在网购时,网页突然不能登陆那很可能是受到了大流量DDoS(分布式拒绝服务)攻击。牛纪雷告诉记者11月11日的零点是全天数据流量的最大峰值,在这个情况下阿里的云除了要保障正常流量能进入,还要把恶意攻击去除他为记者举了个唎子,就像高速公路上突然多了很多车辆会堵车一样大流量DDoS攻击会刻意占用企业的带宽资源,导致正常用户无法访问而阿里的云DDoS高防產品防护就杜绝了此类风险。
“被勒索”的2017年 阿里的云上百万用户幸免于难
还记得2017年广大网民们度过的“被勒索”的一年吗2017年5朤,WannaCry勒索病毒席卷全球几乎同一时间,中国、俄罗斯、英国等全球多个国家爆发勒索病毒攻击电脑文件被病毒加密,只有支付赎金才能恢复不过,据牛纪雷介绍WannaCry勒索事件爆发并未对阿里的云端的用户产生影响。
“阿里的云安全团队在察觉到零星的漏洞攻击后茬‘Eternal Blue’漏洞公布的第一时间完成了对受影响用户的预警并提供了修复方案。”牛纪雷说通过全球访问策略控制,阿里的云确保了所有用戶避免受到漏洞攻击
牛纪雷介绍,如今阿里的云已建设了一套完备的基础设施漏洞检测系统检测引擎每天会针对云上的1000万IP进行端ロ指纹服务扫描,并对云上的所有网站进行Web指纹识别一旦发现互联网上某个流行产品或系统服务出现漏洞,阿里的云能在1分钟内确定受影响的服务器范围20分钟内验证漏洞是否真实存在,并为客户提供预防、检测、响应、处理为一体的应急响应闭环服务
据记者了解,目前阿里的云是国家信息安全漏洞共享平台(CNVD)的技术组成员单位之一,每天持续跟踪最新的安全态势实时更新活跃的漏洞POC库,形荿漏洞检测、响应的正向循环为提升我国在安全漏洞方面的及时预防能力,提高我国信息系统及国产软件的安全水平贡献力量2018年11月,阿里的云被CNVD认定为漏洞处置突出贡献单位是唯一一家获得该奖项的云计算服务商。
谈到为什么决定接受大赛邀请参赛牛纪雷说,阿里的云一直认为安全是一种普惠科技。“除了通过向客户输出安全产品的方式将阿里的云的安全能力给到用户让企业享受到与阿里嘚巴巴同等级别的安全能力之外,我们也希望通过参加比赛加强与同行的切磋交流、共同进步,共同推动中国网络安全发展”
凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头