服务器被***的教训

今天一台服务器突然停了，因为是阿里云的服务器，赶紧去阿里云查看，发现原因是阿里云监测到这台服务器不断向其他服务器发起***，便把这台服务器封掉了

明显是被***做为肉鸡了

处理过程

（1）查看登陆的用户

通过 who 查看，当前只有自己

通过 last 查看，的确有不明ip登陆记录

（2）安装阿里云的安骑士

（3）修改ssh端口、登陆密码，限定指定IP登陆

（4）检查开机自启动程序，没有异常

（5）检查定时任务

发现问题，定时任务文件中有下面的内容

REDIS0006?crackitA?
ssh-rsa AAAAB3NzaC1y......bVMcIVHPyiP3/y/bliZ6JZC7jnZLk6kMvGw== root@localhost.localdomain
??B??.?)

可以看到是被设置ssh免密码登陆了，漏洞就是redis

检查redis的配置文件，密码很弱，并且没有设置bind，修改，重启redis

删除定时任务文件中的那些内容，重启定时服务

（6）把阿里云中云盾的监控通知项全部选中，通知手机号改为最新的手机号

（7）配置iptables，严格限制各个端口

总结教训

根本原因就是安全意识薄弱，平时过多关注了公司产品层面，忽略了安全基础

从上面的处理过程可以看到，没有复杂的东西，都是很基本的处理方式

对服务器的安全配置不重视，例如redis的安全配置很简陋、ssh一直用默认端口、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视

网络安全是很深奥的，但如果提高安全意识，花点心思把安全基础做好，肯定可以避免绝大部分的安全事故

这个教训分享给向我一样系统安全意识不高的服务器管理者

标签：安全意识,教训,redis,阿里,ssh,服务器,定时
来源： https://blog.51cto.com/u_15127579/2727112