关于Redis未授权访问漏洞被植入挖矿程序

Posted 2021-12-03

1.由于安装低版本的redis，默认绑定在 0.0.0.0:6379，会将Redis服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据
2.此时服务公网端口被扫描到，植入挖矿程序，使用top命令可以看到cpu使用率被占满，把它kill掉cpu使用率马上就下降了，但是不一会cpu使用率又上了
3.这种情况打开crontab -l 可以看到有一条被植入的定时任务或者一般也会在写在定时文件里/var/spool/cron,将其删除，如果有自己的定时任务被删除掉，可以ls /var/log/cron*，根据日志来恢复
4.此时还应检查是否有公钥写入到目标系统的/root/.ssh下，可免密码登录目标ssh，如果有需要及时删除
5.建议：如果不需要外网访问，则修改设置 0.0.0.0:6379。只是本机访问则改为127.0.0.1:6379。设置redis访问密码，建议设置密码要复杂一点，因为redis允许长时间扫描。可以的话对redis的访问端口进行修改。