30日tataufo技术部团建，本来是个好日子，没想到竟然是悲剧的开始。

晚上到家，同事告诉我有用户反馈以用户名义发送了好友邀请的短信。

难道上次的bug接口被执行了？ 登录云主机，发现根目录下有异常文件，居然文件名是Jave，用户组是redis，TMD！

检查所有的链接端口， 发现有来自 5.18.127.3 的 ssh 链接，黑客攻击！检查所有拥有 redis 用户权限的程序， 检查所有的crontab，检查 30日的有更新的所有文件，发现存在诸多不明文件。

同时，/mnt 挂载盘下的所有文件都有改动过的迹象，其中包括向通讯录用户发送好友请求短信的接口脚本。在上一次升级（3.1.5）中，存在一个bug，该脚本如无输入参数，将向所有通讯录好友发短信，靠，OMG！莫非那个家伙执行了这些脚本！

/tmp 下的鬼更多，moni.1 ！ 居然是臭名昭著的莱特币挖矿程序！

立即强行kill， 删除redis 用户，删除所有不明文件，恢复用户的相关数据，…… 系统应该正常了。

安全，安全， 云服务器的安全更要重视！反思一下:

• 如果云服务告知存在安全隐患，就不要心存侥幸，以为你是老码，上帝会保佑你！
• 不要备份有缺憾的代码，一定时刻清洁代码
• 对云监控要重视，响应一定要及时
• 尽快部署堡垒机，不要怕麻烦
• ……