这是一个创建于 1340 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题:有一台半闲置的服务器配了个 redis 服务。默认 6379 端口无密码可任意主机链接;
某天发现 redis 里存了几个莫名的 backup 的 key,value 是一个 sh 的 url 的 sh 脚本。
最终找到 http://xmr.ipzse.com:66/这个文件服务器,里面有端口扫描软件跟一些卸载阿里云,腾讯云防火墙的脚本。还有一些看不懂;
问题来了,
这些脚本在服务器运行后究竟在我服务器做了啥,对服务器有啥危害不,需要格式化整个服务器重启吗?
目前没发现服务器有什么异常的情况;
现在 redis 已经做了 requirepass 的设置,能防止此类情况再次发生吗?
 |
1
ZRS 2020-08-21 23:04:01 +08:00
建议重装
|
 |
2
wakzz 2020-08-21 23:06:17 +08:00
建议重装,你永远不知道被黑过的系统里被装了什么脚本和后门。以及检查一下同一个域下的其他主机,可能也被顺藤摸瓜黑进去了。
|
 |
3
opengps 2020-08-22 00:31:01 +08:00
你不是做安全的大佬,一时半会发现不了全部影响,虽然你没什么重要业务,但这种情况还是重装比较省心
redis 是个内网服务,不适合暴露在公网 安全是个大问题,往往是几个弱点,组合起来就成了大灾难 |
 |
4
aulia 2020-08-22 02:14:29 +08:00 via iPhone
大概率被挂挖矿木马,看看 crontab 里面有没有定时任务
|
 |
7
wjhjd163 2020-08-22 09:18:23 +08:00 via Android
肯定得重装啊
redis 是重灾区,有无数方法达到挂马的效果 无进程马之类的根本看不出来 |
 |
8
janus77 2020-08-22 09:29:02 +08:00 via iPhone
对待安全,还是那句话,我说没问题你就不重装了吗?那出问题要不要我背锅啊。虽然这句话有点过,但是意思是那么个意思
|
Select Language