騰訊雲服務器遭到勒索病毒經歷

第一次發文，記念一下服務器（騰訊雲服務器 CentOS 7）被黑經歷，也提醒下讀者提升安全意識。

 

正在着手寫一個分佈式的項目，註冊中心放置於雲服務器上，忽然發現報出連不上zookeeper的錯誤。。。

立馬使用ssh工具登陸服務器查看詳情，卻發現怎麼連都連不上（以前沒有關機）

在騰訊雲的控制檯查看（已經關機）

開機後去啓用zookeeper是發現 /opt 目錄已經不存在了，而且鏈接時候多了一行提示信息 View here: https://pastebin.com/raw/eFDC9giY for information on how to obtain your files!

 

 打開上面的網址

 （谷歌翻譯）

您已被感染RANSOMWARE | 你已被感染了RANSOMWARE 你被黑了。
當您被黑客入侵時，您的文件被髮送到咱們控制並從您處刪除的服務器。

您必須支付0.25 BITCOIN才能恢復您的文件，並防止它們泄露到此地址：

14z9Rbpw5SozMuMRRrdwcKaSs4PsxiEHRE 

咱們是世界上惟一能夠爲您提供文件的人！

當您發送付款後，請發送電子郵件至aariz@airmail.cc，其中包括：
2）服務器IP地址
3）BTC交易ID 

FBI建議僅支付：https ：//www.tripwire.com/state-of-security/ 最新的安全新聞/勒索被害人，應該-剛剛支付了贖金，稱最FBI /

付款時，您將收到一個FTP賬戶，您能夠在其中檢索文件並刪除咱們的全部數據。若是您不付款，月末咱們將收集服務器上剩餘的全部數據並將其泄露。

如何購買比特幣：您能夠從如下網站購買比特幣：

http://localbitcoins.com 
http://kraken.com 
http://okcoin.com 
http://coinbase.com 
您能夠發送電子郵件至aariz@airmail.cc尋求支持，但咱們不會回答諸如「我能先看到文件嗎？」之類的問題。由於咱們沒有時間進行此項

付款時，請將[付款]放入電子郵件主題中，以便咱們能夠在別人面前爲您服務！

　　

細思恐極.....由於在此以前也有一次相似的經歷，可是那時候沒有深究，直接在控制檯上重裝了系統，當時覺得是騰訊雲內部出了問題。

以後便聯繫了騰訊雲的客服，他建立了個工單處理。。其實也知道數據恢復過來的但願不大

服務器是供平時學習使用，並無什麼重要文件數據。只是配置起來要倒騰一番。

也是個教訓，安全意識不夠，感受黑不到本身頭上，真被黑了卻也是個麻煩事，服務器全部的環境要重裝（jdk,tomcat,zookeeper,solr,redis......）這個勒索病毒彷佛只是刪了opt目錄和root目錄下的文件，可是mysql以及裏面的數據都還在。