2. 程式人生 > >記一次服務器被勒索!

記一次服務器被勒索!

阿新 發佈:2018-12-02
bitcoin str ftp ron rrd support width 當我 一個

Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your files!

如果你在服務器看到上面的信息,恭喜你被勒索了

如果你還沒有見過上面的信息,希望你以後也不要遇到

服務器是:騰訊雲服務器

所有者是:我的一個同事

當我知道這個情況的時候我的同事已經把雲機器重置系統了,,本來還想看一下機器上面的情況

現在只能根據現有信息進行分析了

今天同事照常登錄系統,準備繼續搞事,剛登錄上就彈出:

Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your files!

心涼一截

進入上面給的鏈接查看下:

技術分享圖片

YOU HAVE BEEN INFECTED WITH RANSOMWARE | YOU HAVE BEEN INFECTED WITH RANSOMWARE

You have been hacked.
When you were hacked, your files were sent to a server that we control and removed from you.

You must pay 0.25 BITCOIN to get your files back and prevent them from being leaked to this address:

14z9Rbpw5SozMuMRRrdwcKaSs4PsxiEHRE

We are the only ones 
 
in the world that can provide your files for you!

When you have sent payment, send e-mail to aariz@airmail.cc with: 
2) SERVER IP ADDRESS 
3) BTC TRANSACTION ID

FBI SUGGEST TO JUST PAY: https://www.tripwire.com/state-of-security/latest-security-news/ransomware-victims-should-just-pay-the-ransom-says-the-fbi/
 


When you pay, you will receive an FTP account where you can retrieve your files and delete all your data from us. If you do not pay, at end of the month we will collect all data that remains on server and leak it.

HOW TO PURCHASE BITCOIN:

You can purchase bitcoin from following:

http://localbitcoins.com
http://kraken.com
http://okcoin.com
http://coinbase.com

You can message aariz@airmail.cc for support, but we will not respond to questions such as "can i see files first?" because we do not have time for this

When you have sent payment, put [PAID] in email subject so we can attend to you before others!

果然,要幣,而且要的真特麽人性化啊

1、告訴你,你被黑了

2、付幣,恢復文件,不付,月末刪除文件,,FBI那個下面再說

3、付完後聯系方式

4、沒有幣,沒關系,還給你提供幾個購買幣的渠道

其中有一條是讓看一下FBI提供的建議,,

技術分享圖片

我建議大家遇到這種情況不要支付,據不完全可靠消息說:攻擊者並沒有留存受害者的文件,只是騙受害者去付錢,詳細信息見下鏈接:

https://www.bleepingcomputer.com/news/security/hacked-redis-servers-being-used-to-install-the-fairware-ransomware-attack/

當然如果你的文件比較重要的話可以Try一下

當然如果你非常Rich的話也可以Try一下

當然FBI的建議下面的還是可以聽取的

技術分享圖片

備份很重要!這就和吃藥是一樣的,按時吃,要定期吃,病才會好,數據才會安全

再看一下為什麽會被黑:

首先就是騰訊雲已經提示可能存在的風險被忽略:

【騰訊雲】您好,近日騰訊雲安全中心監測到雲主機搭建的Redis服務存在安全風險(騰訊雲賬號ID:10000*******),可能導致機器被入侵,黑客可以獲取雲主機的最高權限,導致數據丟失或被加密勒索,如果您的雲主機中安裝了Redis服務,為了避免您的業務受影響,建議您及時進行加固,具體可以參考<Redis未授權訪問漏洞修復建議>:http://bbs.qcloud.com/thread-30706-1-1.html,如果您已經進行了加固,請忽略該通知,詳細內容參見站內信。

記一次服務器被勒索!

相關推薦

服務勒索

bitcoin str ftp ron rrd support width 當我 一個 Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your

服務入侵的調查取證

TP 應用 html mon down 幾分鐘 log 一個 elf文件 0×1 事件描述 小Z所在公司的信息安全建設還處於初期階段,而且只有小Z新來的一個信息安全工程師,所以常常會碰到一些疑難問題。一天,小Z接到運維同事的反映,一臺tomcat 的web服務器雖然安裝了殺

服務抓去挖礦事件

加強 grep top fin 是個 過程 不可 暴力破解 cpu 某天,一臺服務器cpu占用高達96%, 好吧,這種情況當然要看看是哪個進程占用的了,top查看進程發現是一個 ls_linux 的進程高居榜首,但是自己知道該服務器上沒運行過此種服務的,所以斷定可能是被抓去

服務挖礦經歷與解決辦法

alt boot 告警 port 下載 被黑 rep $2 nano 記一次服務器被挖礦經歷與解決辦法 在最近的某一天裏面,中午的一個小息過後,突然手機的郵件和公眾號監控zabbix的告警多了起來。我拿起手機一看原來是某臺服務器上的CPU跑滿了,就開始登上去看一下是哪

服務攻擊事件

不用 時間 edi 能夠 hist 幹凈 col nbsp ssh key 病毒清除 事情都解決了好多天,今天來總結一下,那天開發問數據備份沒有沒有拉到他們的那臺服務器上,於是乎就去看了一下為什麽定時任務沒有執行,看了之後,waht???我的定時任務全部沒了,NND 定時任

服務IO過高處理過程

linux 服務器 緩沖區 io負載 記一次服務器IO過高處理過程 一、背景 在一次上線升級後,發現兩臺tomcat服務器的IOwait一直超過100ms,高峰時甚至超過300ms,檢查服務器發現CPU負載,內存的使用率都不高。問題可能出現在硬盤讀寫,而且那塊硬盤除了寫日誌外,沒有其他

服務Tomcat優化經歷

type tomcat優化 ext stream jpg 試用 ros index ctp 博主原創,轉載請註明。 公司需要一臺測試服務器來做測試用,所以花了幾天時間把服務全部部署好,在部署好war包之後,發現Tomcat訪問超級慢。 1、進入Tomcat的bin目錄下,運

記錄服務攻擊

服務器 攻擊 肉雞 公司一臺服務器從某一個時間開始,突然在每天不定期出現磁盤io和進程數的告警,初期進行查看,並未發現問題,暫時擱置。 每次告警時間都很短暫,所以很難在系統出現告警時登錄查看。而且由於在忙其他事情,這件事也一直沒有仔細去查。 登錄檢查的時候發現有一個分區磁盤滿了

服務挖礦的處理解決過程

amp 命令 刪除 root密碼 pos 服務器 exc 感染 oot 內網一臺服務器cpu爆滿,第6感猜測中了挖礦病毒,以下為cpu爆滿監控圖表趕緊ssh進系統,top了下,一個./x3e536747 進程占用了大量的cpu,cpu load average超過了cpu內

服務生成Excel在客戶端下載的案例

停止 stream posit quest enc url Coding 不能 dstream 今天加盟部校長說做一個用戶數據收集並導出Excel文件的小網頁,主要便於查看客戶信息,前期一切順利,就在生成Excel和下載的時候出現了問題,收集了一些資料,有人說用NPOI插件

服務inodes數報警的事件

tab mic fin 占用 ron find crontab spa 形式 1 # df -i 執行以上命令,發現/上的 inodes 占用率為81%,於是開始處理。 首先找出哪個目錄底下文件數最多: 1 # cd / 2 # for i in $(ls);do e

服務忘記root密碼的總結

步驟 tocken 使用 passwd命令 成功 需要 忘記root密碼 fff images 案例:服務器忘記root密碼無法進入系統 相關參數 single =>單用戶模式passwd =>

mysql資料庫勒索(中)

 背景在上一篇文章裡面已經提過了。【參考:記一次mysql資料庫被勒索(上)】 現在面臨的問題是nextcloud沒有mysql資料庫,用不起來了。 因為檔案沒丟,一種方法是啟動新的mysql資料庫,把檔案重新提交一次。 為了程式設計師的面子,沒有選擇這麼沒技術含量的方法。我想通過恢復mysql資料

服務斷電,造成innodb引擎表(日誌表)損壞的解決辦法

ces init nal rem min something fault more caused 1、mysql日誌報錯innodb引擎提示數據庫沒有正常關閉,報innodb錯誤180112 0:49:28 InnoDB: Database was not shut d

記錄服務“卡死”故障的解決過程

virtio 服務器卡死 僵死進程 blocked for more 晚上8點多突然收到zabbix報警,服務器負載高,IO負載高。看到報警信息馬上就猜到,老問題又出現了上次的方法沒能解決問題,故障回顧 故障背景:系統:ubuntu 14.04 服務器:kvm虛擬機 故障現象:1.系統存在大量

快樂(並不)的勒索清理之旅

背景 的公司作為傳統企業有著龐大的伺服器基數,我們平時針對的生產環境維護,對於準生產和開發測試,我們一般都是讓開發自己區玩耍 病毒發現 前些天發現準生產環境有一臺主機被名為lucky的勒索病毒感染了,最直接的表現為一些檔名被篡改為[[email protected]]xxxxxxx(原

檢視檔案刪除的經歷

history | grep rm 發現沒有人最近做刪除,那麼就是程式刪除。 檢視資料夾(logs)最近修改時間:ls -al logs   檢視系統磁碟資訊 df -h 發現系統的掛載目錄是:/dev/sdal 使用:debugfs  open /dev/sda

記錄服務登錄後提示郵件報錯550

pro ssa file amp smt from 結合 `` 重點 記錄一次服務器登錄後提示郵件報錯550 `smtp-server: 550 郵箱:user not exist "/root/dead.letter" 11/417 . . . mes

linux伺服器攻擊的處理經歷

首先發現IO、流量異常。查詢登入記錄,果不其然last命令沒有結果,/var/log/wtmp檔案被刪除。查詢/var/log/secure檔案中的登入記錄:grep "Accept" /var/log/secure查dstat的日誌檔案,正是10:51分開始出現IO異常。用

服務釋出之後,圖形驗證碼亂碼的服務排查

由於業務拓展,新買了臺系統為centOS7的伺服器,配置完jdk和nginx之後,將服務釋出到伺服器上並部署啟動,然後重新整理頁面,神奇的事情就出現了:第一個想到的問題,就是進行本地除錯,發現一切正常;於是在生成驗證碼文字的地方加上了logger輸出,再次釋出程式到伺服器上,