服务器中挖矿病毒

Posted 2021-03-05 yamiya

今天下午邮箱突然收到阿里云的信息：

由于被检测到对外攻击，已阻断该服务器对其它服务器端口（TCP:6379）的访问，阻断预计将在2020-03-17 18:34:26时间内结束，请及时进行安全自查。若有疑问，请工单或电话联系阿里云售后。

打开后台发现cpu占用几乎是满的，把占用最高的那个kill掉，然后过了一会儿又重启了，上网一搜发现是中了挖矿木马，估计是昨天安装redis的时候没有设置密码，redis设置的是内网ip，估计是脚本用阿里云内网挨个ping内网ip，利用redis的漏洞植入病毒，我按照网上的教程把自动启动的脚本删了也没用，用同名文件覆盖了也没用，这个服务器主要用来自己玩玩的，没啥重要数据就直接重装了。

用docker安装没有自动设置密码的服务，安装完后一定要设置密码。