周一早上,领导发来消息:xxxx用户:您有服务器因攻击被限制访问部分目的端口,详细信息请看https
排查了服务器上的异常进程后,与阿里云沟通得知,被人利用rocketmq的漏洞攻击了
服务器中毒的原因 您服务器中运行的 rocketmq 是 4.9.4 版本,该版本存在远程代码执行漏洞。黑客通过 rocketmq-4.9.4 程序漏洞入侵了服务器。详见 Apache RocketMQ NameServer 远程代码执行漏洞(CVE-2023-37582):https://avd.aliyun.com/detail?id=AVD-2023-37582 3、解决方法 这种情况人为手工清理是不彻底的,这是因为黑客一旦入侵系统,通常会执行替换系统命令、创建登录密钥、创建计划任务、篡改系统设置等一些列操作,很难完全根除。从安全角度出发,也不建议您继续使用中过毒的服务器。 最为保险的解决方法: 尽快备份好数据,然后参考文档 https://help.aliyun.com/document_detail/25449.html 重新初始化系统盘。
后续系统在运行部署 rocketmq 程序时,
您请使用 rocketmq 安全版本:
Apache RocketMQ NameServer 5.1.2
Apache RocketMQ NameServer 4.9.7