作者:码畜君
资料来源:公众号畜圈
你好。 我是粗心的砂比得酱篇。 最近,腾讯云服务器被黑客入侵。 这是我第二次被黑客攻击,也是一次悲惨的经历。 鼓掌
首先,说一下上次被黑客攻击的经历吧。 上次被黑客攻击的服务器是AlibabaCloud (阿里巴巴云)。 服务器没问题。 只是库被删除了。 主要原因有两个。 一个是外网数据库端口没有关闭,另一个是在线数据库的密码太简单了,总结来说就是弱密码的密码攻击。 数据库的密码有多简单? 123456,说到这里,就会喷出旧血。
这次的封锁像科幻小说一样。 发出作业指示无法解决,也无法重新启动系统。 入侵者在我的机器路线上rm -rf *
第一次发现
昨晚在百度上查了网站的收录情况,第一次发现博客网站打不开了! 觉得服务器不稳定,想登录重新启动,结果悲剧地也爬不上去了!
所以,麻麻为了确认是什么情况,必须向云提交作业指示!
图像
工程师分析说,我拥有机器是因为cpu已满,没有可以远程连接的资源。 建议重新启动后用VNC登录。
图像
是的,终于从网站方面登录了。 赶紧看看有什么问题。 因为我的服务都是基于docker的,所以首先docker看到了集装箱信息吓了一跳
图像
卧槽,我的机器什么时候被挂了两个程序在跑。 一个在15小时前,另一个在39小时前,也就是这一两天前。 而且,这顶谦让的帽子很聪明。 我必须动其他的东西。 除非机器开着挂着,否则不知道。
马上删除了这两个容器!
是的,发现了问题。 我现在不关心这两个正在行驶的集装箱是什么样的APP。 总之被黑客攻击了。 关于被黑客攻击的理由,我考虑了前几天写的文章并进行了推测。 docker外网远程端口忘记关闭了。 真是直眨巴眼睛
有兴趣的朋友可以看这篇文章:
【实战原创】将spring boot APP docker化后公开到远程服务器
立刻关闭了远程端口,防止了不良淫乱的继续
图像
为了进一步确保安全,重新更改了ECS服务器的登录密码
图像
既然危险性都解决了,重启系统吧。
完了,远程设备又不能连接了,还是只能用VNC连接,这也不方便啊,心累,关灯睡觉,明天再说吧
第二天早上,用xshell远程登录了,但还是没能登录,再次在后台点击了重新启动。 有一段时间,还是失败了。 用VNC连接后,发现也无法连接到VNC。 只看到了以下界面。 没错,被卡住了,不能动。 重启都GG
图像
有问题马上下达作业指示找腾讯的哥哥哦,各种授权
自然云的硬盘数据快照备份不可用,因为计算机无法重新启动。 也就是说
的所有资料都GG了!
必须说明。 工程师必须确认黑客攻击缺少系统文件,无法重新启动,然后重新安装系统才能使用。 文件该怎么办? 我的数据库里还有几百个博客。 于是为了将损失降到最小,向工程师传达了恢复方案。 对方建议我试着从原来的系统盘恢复。 我希望这条老铁没有清除我以前手动备份的文件。 否则,我真的会哭。
e9cd434990743921c3af3692?from=pc">image
首先,购买了一份云硬盘,将原来得系统盘数据拷贝到云硬盘,因为要想重新去查看原来得数据,必定是先重装系统然后挂载云硬盘,因为系统盘会随着实例释放,所以不得不掏钱买了一个一样大得云硬盘,花了十几块钱买了一个月得,这可是我一周得生活费啊!开整!
首先将ecs服务器关机,然后进行系统盘拷贝,拷贝完成以后将不能启动得ecs服务器重装系统,嗯,思维缜密,给自己一个赞!
重装完成以后,将新的硬盘进行挂载,使用命令查看数据库盘符
手动进行挂载
mount /dev/vdb1 /mnt/进去以前得主目录,看看数据还在不在,激动人心!
image
看到ls命令之后蹦出来得数据,我喜极而泣!
数据终于最小损失得找了回来!
列一下我这个目录下得一些主要文件
aliyun_mysql_back_up 阿里云数据库异地备份目录dblogXXX.sql 博客数据库 手动备份脚本mysqlBackUp mysql脚本备份nginx docker容器得宿主机目录,一些 https证书以及nginx配置文件和日志文件ngrok 内网穿透相关redis redis容器宿主机相关幸运得是,数据基本都能找回来了,也没有什么太大得损失,算是惊魂了一把。
因为我的应用都是基于docker得,数据库备份脚本也都找回来了,所以短时间内应用就欢快得跑了起来!
总结
云服务器敏感得端口尽量不要设置为开放,即使设置为开放,也要设置为固定ip可访问,而不是所有客户端能访问事故发生了不要急,一步一步来,没准就会像楼主一样能最大减少损失,不抛弃不放弃心态别崩,即使都挂了,也要做好从头再来得准备,别像楼主,救护车都准备叫好了不要怕麻烦,数据做好备份,真正出事得时候,你会觉得:真香!