阿里云被黑客入侵植入挖矿软件并修改了 ssh key

如果要重装系统怎么把 hexo 数据迁移，我是 git 钩子同步到一个文件夹，然后用 nginx 解析的

Hexo 不是纯静态的么，有 Git 代码在就可以重新部署

如果只是挂个 Hexo 博客，没必要搞个服务器，可以用云开发的静态托管

Redis 端口敢放出来估计一下就被入侵了。还有用 GitHub 之类的放博客省事，不然以后还要续费迁移什么的。

有同样经历，只不过我 mongodb 端口放出来了，然后被黑客删库了，好在有备份，查了下 ip 是一个德国的地址

阿里云可以安装云助手，可以远程执行命令，把你的公钥写入就行。

死因：redis
喜闻乐见

@webshe11 求问 redis 为什么容易造成这样的问题？

我搭了个 typecho 的博客，有人像倒垃圾一样用垃圾评论塞满我的数据库，问题是都 2019 年了，你有本事去黑大公司啊，或者黑个 VPS 我也不说啥了，我一个 php 小虚拟机，你塞满我那 200m 数据库，是能有什么成就感……
而且我后来都换成 github page 了，看 Cloudflare 解析记录，那几个欧洲国家的访问还一直继续……

@levelworm Redis 默认没有密码

先保护案发现场，给虚拟机做个快照。然后备份资料和数据，最后重装系统。

@levelworm redis 默认没有密码，如果是管理员运行的，那么可以将公钥作为键值存储，在将文件刷到磁盘的.ssh 文件夹改个名就行了。

其实不是被黑客入侵，是被黑客程序入侵，这种挖矿病毒甚至是无人值守自动扫描漏洞入侵系统的

反面想：挖矿还好，至少不是加密勒索，不是恶意破坏，备份出来可以尝试恢复出来自己的数据

@lvming6816077 #4 这种 IP 没意义 都是肉鸡

服务器 firewall 不开的么？？

我用 docker 跑的 redis，没啥风险吧？

@Rwing 那得看运行容器有没有赋予 privileged 或者 cap-add

前年就是因为 redis 放开端口呗挖矿，所以最好是换端口，如果非要把端口放出来就加上密码吧。

@Rwing 我 docker 跑的就中过招。。。。所以你还是加个密码吧，另外端口也改了。

@Netfix 那是不是设置了密码 就会安全点?还是 端口都不开放?

你一定是用的 centos

我有个简单网站也用了 redis，我一开始就设置了密码 ，也修改了端口号，目前没啥问题

这种都是自动扫端口注入的，如果是企业使用阿里云，一定都要配置安全组策略，限制公网端口开放。个人的你就当吃个教训吧。

如果你只是想保留一下 hexo 的博客，建议直接挂 github 吧省事
如果还想用阿里云的话，就把 hexo 的文件整个备份一下然后重装下云系统
如过你连系统都不想重装就把 ssh key 删了，/etc/passwd 排查一下有没新帐号，redis 加密码，crontab 配置删了，挖矿守护进程杀了(有的话)，挖矿进程杀了，挖矿马删了等等等等

用 docker，保护好宿主，容器随便造

redis bug 多年前就被干过
挖矿算好的
我那个被勒索
直接关闭主机了

Redis 为啥不直接用 rds，要放在 ecs 上。

被挖矿的路过
不知道咋弄的
拿 htop 看 cpu 占用率发现总是 100%

不设置密码
不开安全组
不装安骑士

@Rwing 我的 docker 跑 redis，然后几个月前发现被植入了挖矿程序 kdevtmpfsi，他还给我加了几个 crontab

都会用 nginx 了，不能直接用 nginx 反代 gothub 的博客地址么

redis 默认没有 ssl 认证，被中间人窃听或者被爆破都是有可能的。建议只通过内网访问。

外网需要访问简单点可以用 ssh 做隧道映射一下端口，复杂点就用 wireguard 、openvpn 之类的去做。

@v2yooha 是 host ？还是容器里？

Redis 单机用的话为什么不用 socks 连接

我都不设置密码，redis 不是默认 本地 127 访问吗，咋还能被入侵

@Rwing 容器里面