小天管理 发表于 7月10日 Share 发表于 7月10日 今天早上起床看手机,发现阿里云发来一条短信,通知说装了 Ubuntu 的服务器上有包含恶意代码的文件。 上班之后登录阿里云控制台看了一下,发现存在这么一个文件:/usr/lib/ubuntu-advantage/apt_news.py,阿里云的 AI 告警分析功能还解释这个挖矿脚本的所实现的功能。 现在比较好奇的就是这个脚本是怎么被植入服务器的,服务器上运行了 Nginx ,Docker 里跑着 Strapi 和 MySQL 。 安全策略方面,UFW 只开放了业务需要的几个端口,包括常见的 80 、443 、22 ,还有一个网站所需的 8001 ,以及 STMP 服务要用的 587 端口,另外还配置了 fail2ban 。 而且,这台服务器默认禁止了外网 IP 访问,只允许内网的另一台服务器通过上面这些端口访问。 这样的话,感觉 Web 应用层面出了漏洞的可能性比较大? 现在已经配置了 UFW 和 fail2ban 了,还出现了这种情况,有什么别的方法可以检查哪里还有什么漏洞么。 引用 意见的链接 分享到其他网站 More sharing options...
已推荐帖子
加入讨论
您现在可以发表并稍后注册. 如果您是会员,请现在登录来参与讨论.