Linux 云服务器中毒了

2019-04-08 13:14:06 +08:00

Hanbuger

最近买的云服务器中毒了，起因是安装 redis 的时候默认安装，没有进行安全配置。过了一个晚上就被入侵了，好像是挖矿病毒。症状就是每天 1 点中会跑很多的定时任务，造成服务器内存溢出。定时任务会运行 ftpdns 和 ftphttp 两个文件，具体代码就不传播了。有遇到的麻烦提供一下解决方法。

7394 次点击

所在节点

Linux

40 条回复

goodryb

2019-04-08 13:21:19 +08:00

有快照就回滚，没有就重装吧，以免后患

defunct9

2019-04-08 13:25:05 +08:00

开 ssh，让我上去看看。

claysec

2019-04-08 13:33:34 +08:00

#1 +1

pynix

2019-04-08 13:35:04 +08:00

你干嘛把入网端口打开呢？

jjc27017

2019-04-08 13:37:38 +08:00

如果没有重要资料在上面就直接删掉重新安装系统就可以了，redis / mongo 这种全部按默认，然后暴露公网的最容易被搞

Hanbuger

2019-04-08 13:38:10 +08:00

@pynix 把 redis 安服务器上

Hanbuger

2019-04-08 13:38:50 +08:00

@jjc27017 改了用户名试试，不行就重装

javashell

2019-04-08 13:39:57 +08:00

猜测 redis 未授权导致的，看看定时任务和进程有没有挖矿程序运行

Hanbuger

2019-04-08 13:42:38 +08:00

@javashell 有定时任务，会从 https://pastebin.com/上 down 程序，每天一点运行

pynix

2019-04-08 13:46:23 +08:00

@Hanbuger 那也不要开公网端口啊，你还本地机器链接远程 redis ？你连接的时候没有想过不需要密码这件事？

Hanbuger

2019-04-08 13:51:04 +08:00

@pynix 之前都是在内网用 redis，在外网是第一次，不知道这个漏洞...

javashell

2019-04-08 13:51:35 +08:00

@Hanbuger 如果不是你设置的定时任务，先删掉定时任务在 kill 进程，关闭公网 redis 端口或设置密码再看看

2019-04-08 13:53:45 +08:00

你这没啥损失重装就行了，以前我有一台机器中招了流量给我跑超了 2000 多块钱，钱被扣了才发现，肠子都悔青了。

Hanbuger

2019-04-08 13:54:38 +08:00

@javashell 定时任务删了，过一会又会有。redis 端口已经关了，还换了系统用户名。现在就是纳闷是在哪里生成的定时任务

Hanbuger

2019-04-08 13:55:23 +08:00

@1O 我还好，这是我个人的

javashell

2019-04-08 13:56:51 +08:00

@Hanbuger 进程一般有守护程序的

Hanbuger

2019-04-08 14:10:07 +08:00

@javashell 有办法找出来或者阻止吗

52coder

2019-04-08 14:33:28 +08:00

问题解决了吗，你指的 redis 默认安装存在问题，需要如何避免？刚好最近在看 redis，我安装就是 make make install

luanluan

2019-04-08 14:34:38 +08:00

开 SSH 我来给你弄

wzaqqq

2019-04-08 14:44:23 +08:00

重装吧，估计很多基础命令都被换了

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/552923

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.