服务器被人从 redis 的漏洞注入了奇怪的东西

2020-08-21 23:00:36 +08:00
 powa2005

如题:有一台半闲置的服务器配了个 redis 服务。默认 6379 端口无密码可任意主机链接;

某天发现 redis 里存了几个莫名的 backup 的 key,value 是一个 sh 的 url 的 sh 脚本。

最终找到 http://xmr.ipzse.com:66/这个文件服务器,里面有端口扫描软件跟一些卸载阿里云,腾讯云防火墙的脚本。还有一些看不懂;

问题来了,

这些脚本在服务器运行后究竟在我服务器做了啥,对服务器有啥危害不,需要格式化整个服务器重启吗?

目前没发现服务器有什么异常的情况;

现在 redis 已经做了 requirepass 的设置,能防止此类情况再次发生吗?

3025 次点击
所在节点    问与答
8 条回复
ZRS
2020-08-21 23:04:01 +08:00
建议重装
wakzz
2020-08-21 23:06:17 +08:00
建议重装,你永远不知道被黑过的系统里被装了什么脚本和后门。以及检查一下同一个域下的其他主机,可能也被顺藤摸瓜黑进去了。
opengps
2020-08-22 00:31:01 +08:00
你不是做安全的大佬,一时半会发现不了全部影响,虽然你没什么重要业务,但这种情况还是重装比较省心
redis 是个内网服务,不适合暴露在公网
安全是个大问题,往往是几个弱点,组合起来就成了大灾难
aulia
2020-08-22 02:14:29 +08:00
大概率被挂挖矿木马,看看 crontab 里面有没有定时任务
powa2005
2020-08-22 07:59:26 +08:00
@ZRS @wakzz @opengps 好的,谢谢建议;
powa2005
2020-08-22 07:59:44 +08:00
@aulia 看了没有定时任务
wjhjd163
2020-08-22 09:18:23 +08:00
肯定得重装啊
redis 是重灾区,有无数方法达到挂马的效果
无进程马之类的根本看不出来
janus77
2020-08-22 09:29:02 +08:00
对待安全,还是那句话,我说没问题你就不重装了吗?那出问题要不要我背锅啊。虽然这句话有点过,但是意思是那么个意思

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/700390

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX