V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
powa2005
V2EX  ›  问与答

服务器被人从 redis 的漏洞注入了奇怪的东西

  •  
  •   powa2005 · 2020-08-21 23:00:36 +08:00 · 2994 次点击
    这是一个创建于 1555 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题:有一台半闲置的服务器配了个 redis 服务。默认 6379 端口无密码可任意主机链接;

    某天发现 redis 里存了几个莫名的 backup 的 key,value 是一个 sh 的 url 的 sh 脚本。

    最终找到 http://xmr.ipzse.com:66/这个文件服务器,里面有端口扫描软件跟一些卸载阿里云,腾讯云防火墙的脚本。还有一些看不懂;

    问题来了,

    这些脚本在服务器运行后究竟在我服务器做了啥,对服务器有啥危害不,需要格式化整个服务器重启吗?

    目前没发现服务器有什么异常的情况;

    现在 redis 已经做了 requirepass 的设置,能防止此类情况再次发生吗?

    8 条回复    2020-08-22 09:29:02 +08:00
    ZRS
        1
    ZRS  
       2020-08-21 23:04:01 +08:00
    建议重装
    wakzz
        2
    wakzz  
       2020-08-21 23:06:17 +08:00
    建议重装,你永远不知道被黑过的系统里被装了什么脚本和后门。以及检查一下同一个域下的其他主机,可能也被顺藤摸瓜黑进去了。
    opengps
        3
    opengps  
       2020-08-22 00:31:01 +08:00
    你不是做安全的大佬,一时半会发现不了全部影响,虽然你没什么重要业务,但这种情况还是重装比较省心
    redis 是个内网服务,不适合暴露在公网
    安全是个大问题,往往是几个弱点,组合起来就成了大灾难
    aulia
        4
    aulia  
       2020-08-22 02:14:29 +08:00 via iPhone
    大概率被挂挖矿木马,看看 crontab 里面有没有定时任务
    powa2005
        5
    powa2005  
    OP
       2020-08-22 07:59:26 +08:00
    @ZRS @wakzz @opengps 好的,谢谢建议;
    powa2005
        6
    powa2005  
    OP
       2020-08-22 07:59:44 +08:00
    @aulia 看了没有定时任务
    wjhjd163
        7
    wjhjd163  
       2020-08-22 09:18:23 +08:00 via Android
    肯定得重装啊
    redis 是重灾区,有无数方法达到挂马的效果
    无进程马之类的根本看不出来
    janus77
        8
    janus77  
       2020-08-22 09:29:02 +08:00 via iPhone
    对待安全,还是那句话,我说没问题你就不重装了吗?那出问题要不要我背锅啊。虽然这句话有点过,但是意思是那么个意思
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1243 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 18:11 · PVG 02:11 · LAX 10:11 · JFK 13:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.