记一次阿里云服务器被黑的经历与反思

老吴2019-05-16 19:50运维281浏览


版权声明:本篇文章为原创文章,转载请注明出处。https://yao2san.com/article/2146

一、起因

一台阿里云服务器,前段时间发短信报警说服务器被攻击,以为还和以前一样是误报或者其他的原因,就没管,结果今天发现项目无法访问,使用xshell也无法连接,但是可以ping通,并且阿里云控制台可以ssh连接。这才意识到真的被黑了,于是看了下数据库,果然数据库都被删掉了。本来开始想恢复一下,后来却发现文件丢失,很多服务无法启动,好在数据表有备份,且恢复时间大于重装时间,于是选择了重置系统。在这里记录一下一些过程和问题。

二、被黑现象

1.ssh无法连接,openssh服务无法启动

使用xshell连接报错如下:

Could not connect to xxx (port 22): Connect failed.

ssh无法连接本来以为是sshd没有启动,然后service sshd start启动却失败,使用journalctl -xe看到失败详情如下:

提示:Missing privilege separation directory: /var/empty/sshd

解决:mkdir -p /var/empty/sshd

由于这个文件夹被删除,导致ssh服务无法启动,所以连不上服务器。

2.mysql无法启动

根据提示:Database MariaDB is not initialized, but the directory /var/lib/mysql is not empty, so initialization cannot be done 查看下这个文件夹,发现并没有这个文件夹,也被删掉了,于是新建这个文件夹,出现如下错误:

根据提示:chown: changing ownership of '/var/lib/mysql': Operation not permitted说明没有权限,于是授权:

chown -R  mysql:mysql  /var/lib/mysql

这样mysql算是能启动了,然而进去一看,数据全没了,小朋友写的博客啊,都没了。

3.yum源全部失效

yum源被修改,导致无法安装软件。

到这里已经不想在修复了,因为还有其他问题没发现,肯定还存在漏洞,为了安全起见,还是重置服务器好了。

三、反思

经过这次事件,我要深刻反思一下自己存在的问题:

1.平时对安全问题没有重视,以为阿里云安全性很高,没有做好相应的预防

2.对linux系统不够熟悉,导致发现被黑后,没有一个应对措施

3.没有及时备份数据,导致部分数据丢失

所以今后还需要在安全方面多学习多了解,不过也要吐槽一下阿里云的服务器,明明并没有开放很多端口(包括redis和mysql的都未允许远程连接),不知道怎么就被黑了呢?

赞一个! (2)

文章评论(如需发表图片,请转至留言)