又攻击了?
前段时间每天早上都被阿里云的报警短信和邮件叫醒,给看一下记录。
事实还原
我当时以为是有几篇被其他博主转发了文章,导致被知名度(狗头)上升,被人盯上了。每天早上 6、7点手机就开始报警。上一篇文章发出去后,也收到很多小伙伴的支持。
进过分析,触发报警的原因是服务器端口被自动化程序扫描造成的。
可以理解为一些黑客他们有大量的漏洞攻击武器,比如之前很火的 Redis 漏洞-未授权访问入侵服务器。简单理解就是服务器部署的 redis 服务的 6379 端口在公网暴露,并且 redis 服务是用 root 用户权限启动的,那么当破解了 redis,在通过 redis 命令写入一些病毒命令到服务器文件中,这是就会发生一些为所欲为的事情。
关于【redis未授权访问】 这里我粘贴一篇介绍。
而被攻击这台服务,是我测试服务器,当时为了方便调试和测试,我一次性开启了所有端口。下面这个就是这台服务器了,当我将安全组端口配置成 目的:1/65535 源:0.0.0.0/0,相当于我将所有服务器端口对公网都放开了。每个访问的请求在云厂商层都不会做拦截,服务器的安全只能靠我们自己来管理。
有人同学就问了为什么这台服务器这么容易就被盯上了,全球这么多的IP地址?
对于云厂商,他们的IP段其实都是有限的,就算会经常采购,但是老的IP被释放后也会卖给新的用户来复用。所有想穷举出云厂商的IP非常容易。每天都会有大量的应用来扫描这些IP,除了黑客们还有那些安全厂商们。
怎样避免被攻击
虽然大多数同学服务器也没什么高价值资源放在个人服务器,但是被攻击了依然很不爽,我这里分享几种安全的操作方式。
- 不要对公网开放所有端口,用哪个开哪个。不要像我一样。
- 启动服务不要是用root权限,做好权限管理。
- 指定服务器IP白名单,就是说只能指定的IP访问你的服务器,比如你家里的网络IP。
- 定期修改密码。
以上几点是使用服务器时非常好的习惯,平时养成习惯、工作环境避免损失。
