第一次發文,紀念一下服務器(騰訊雲服務器 CentOS 7)被黑經歷,也提醒下讀者提高安全意識。
正在着手寫一個分布式的項目,注冊中心放置於雲服務器上,突然發現報出連不上zookeeper的錯誤。。。
立馬使用ssh工具登錄服務器查看詳情,卻發現怎么連都連不上(之前沒有關機)
在騰訊雲的控制台查看(已經關機)
開機后去啟用zookeeper是發現 /opt 目錄已經不存在了,並且連接時候多了一行提示信息 View here: https://pastebin.com/raw/eFDC9giY for information on how to obtain your files!
打開上面的網址
(谷歌翻譯)
您已被感染RANSOMWARE | 你已被感染了RANSOMWARE 你被黑了。 當您被黑客入侵時,您的文件被發送到我們控制並從您處刪除的服務器。 您必須支付0.25 BITCOIN才能恢復您的文件,並防止它們泄露到此地址: 14z9Rbpw5SozMuMRRrdwcKaSs4PsxiEHRE 我們是世界上唯一可以為您提供文件的人! 當您發送付款后,請發送電子郵件至aariz@airmail.cc,其中包括: 2)服務器IP地址 3)BTC交易ID FBI建議僅支付:https ://www.tripwire.com/state-of-security/ 最新的安全新聞/勒索被害人,應該-剛剛支付了贖金,稱最FBI / 付款時,您將收到一個FTP帳戶,您可以在其中檢索文件並刪除我們的所有數據。如果您不付款,月末我們將收集服務器上剩余的所有數據並將其泄露。 如何購買比特幣:您可以從以下網站購買比特幣: http://localbitcoins.com http://kraken.com http://okcoin.com http://coinbase.com 您可以發送電子郵件至aariz@airmail.cc尋求支持,但我們不會回答諸如“我能先看到文件嗎?”之類的問題。因為我們沒有時間進行此項 付款時,請將[付款]放入電子郵件主題中,以便我們可以在別人面前為您服務!
細思恐極.....因為在此之前也有一次類似的經歷,但是那時候沒有深究,直接在控制台上重裝了系統,當時以為是騰訊雲內部出了問題。
之后便聯系了騰訊雲的客服,他創建了個工單處理。。其實也知道數據恢復過來的希望不大
服務器是供平時學習使用,並沒有什么重要文件數據。只是配置起來要倒騰一番。
也是個教訓,安全意識不夠,感覺黑不到自己頭上,真被黑了卻也是個麻煩事,服務器所有的環境要重裝(jdk,tomcat,zookeeper,solr,redis......)這個勒索病毒似乎只是刪了opt目錄和root目錄下的文件,但是mysql以及里面的數據都還在。