第一次发文,纪念一下服务器(腾讯云服务器 CentOS 7)被黑经历,也提醒下读者提高安全意识。
正在着手写一个分布式的项目,注册中心放置于云服务器上,突然发现报出连不上zookeeper的错误。。。
立马使用ssh工具登录服务器查看详情,却发现怎么连都连不上(之前没有关机)
在腾讯云的控制台查看(已经关机)
开机后去启用zookeeper是发现 /opt 目录已经不存在了,并且连接时候多了一行提示信息 View here: https://pastebin.com/raw/eFDC9giY for information on how to obtain your files!
打开上面的网址
(谷歌翻译)
您已被感染RANSOMWARE | 你已被感染了RANSOMWARE 你被黑了。 当您被黑客入侵时,您的文件被发送到我们控制并从您处删除的服务器。 您必须支付0.25 BITCOIN才能恢复您的文件,并防止它们泄露到此地址: 14z9Rbpw5SozMuMRRrdwcKaSs4PsxiEHRE 我们是世界上唯一可以为您提供文件的人! 当您发送付款后,请发送电子邮件至aariz@airmail.cc,其中包括: 2)服务器IP地址 3)BTC交易ID FBI建议仅支付:https ://www.tripwire.com/state-of-security/ 最新的安全新闻/勒索被害人,应该-刚刚支付了赎金,称最FBI / 付款时,您将收到一个FTP帐户,您可以在其中检索文件并删除我们的所有数据。如果您不付款,月末我们将收集服务器上剩余的所有数据并将其泄露。 如何购买比特币:您可以从以下网站购买比特币: http://localbitcoins.com http://kraken.com http://okcoin.com http://coinbase.com 您可以发送电子邮件至aariz@airmail.cc寻求支持,但我们不会回答诸如“我能先看到文件吗?”之类的问题。因为我们没有时间进行此项 付款时,请将[付款]放入电子邮件主题中,以便我们可以在别人面前为您服务!
细思恐极.....因为在此之前也有一次类似的经历,但是那时候没有深究,直接在控制台上重装了系统,当时以为是腾讯云内部出了问题。
之后便联系了腾讯云的客服,他创建了个工单处理。。其实也知道数据恢复过来的希望不大
服务器是供平时学习使用,并没有什么重要文件数据。只是配置起来要倒腾一番。
也是个教训,安全意识不够,感觉黑不到自己头上,真被黑了却也是个麻烦事,服务器所有的环境要重装(jdk,tomcat,zookeeper,solr,redis......)这个勒索病毒似乎只是删了opt目录和root目录下的文件,但是mysql以及里面的数据都还在。