服务器被黑

前几日在阿里云上购买了台服务器，打算做一些测试使用，安装的是Ubuntu 系统，软件我安装了python3.12，vsFtp和Redis这3个个软件，嗯，应该没再安装其它了。

想着是测试服务器，也没啥重要信息，就挂在那里。

前天的时候，忽然收到阿里云的一条警戒短信：

【阿里云】尊敬的xxx：您的服务器xxxxx（launch-advis...）存在异常登录行为：ECS在非常用地登录，详情可登录云安全中心控制台进行查看和处理，如果是您自己操作可忽略。

想着可能是自己不小心切换到外网引起的操作吧，当时就没在意。

结果呢，今早时，打算登陆这台服务器，却发现死活登陆不上了，尝试了几次，始终不行，于是登陆阿里云平台上，发现确实收到一条警告短信，

强制重启后，尝试发现也不行。

这时想起来，没有做安全策略，关闭无关端口，很大可能服务器被入侵篡改了。

Image by succo from Pixabay

之前的服务器，安装好软件后，我一般都会在第一时间启用安全策略，就是自己定义的一些端口规则，默认除了80其余一律不开启，除非特殊的比如ftp的21端口，也仅仅是在使用时，一般用完就将服务关闭，后边用时再启用。

再比如Redis，我之前因为犯懒，安装过一个比较老的版本，也没去更新，又开启了外网端口，结果呢，有次发现攻击者就是通过这个redis的漏洞和端口，入侵了服务器。。。

再比如我多年前使用过的phpMyAdmin 软件，用过的朋友都知道，这个软件是php下管理mysql数据库的一款非常好用的软件，但无奈这玩意安全漏洞多，我又不是勤快的人，结果有次也是被利用漏洞，在数据库里莫名多出许多垃圾数据。。。

至于像流行的比如wordPress博客软件，漏洞就更多了，我先前用过一段时间，发现隔三差五就有安全更新，一不小心，就被植入了一些莫名垃圾文件。。。

再说个我遇到过的最奇葩和难搞的一次入侵。当时是在linux服务系统里植入了个进程，那个进程导致cpu极高不下，我尝试杀死进程，结果发现不一会它不知道从哪个地方又冒出来，反复尝试多次，对方就像杀不死的小强，非常顽强。。。无奈之下，我只好放弃，重新安装了新系统。

因此，后来就养成了每次新购买服务器后，第一时间就是加上安全策略，避免无端被攻击，而这次，显然是大意了，主要原因是自己觉得测试服务器，也没啥重要数据，心里一轻视懈怠，这就给黑客制造了机会，钻了空子。

看来，安全还是得注意，不能大意和心存侥幸心理。幸好这次只是测试服务器，没啥重要数据。