关于Redis未授权访问漏洞被植入挖矿程序
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于Redis未授权访问漏洞被植入挖矿程序相关的知识,希望对你有一定的参考价值。
1.由于安装低版本的redis,默认绑定在 0.0.0.0:6379,会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据2.此时服务公网端口被扫描到,植入挖矿程序,使用top命令可以看到cpu使用率被占满,把它kill掉cpu使用率马上就下降了,但是不一会cpu使用率又上了
3.这种情况打开crontab -l 可以看到有一条被植入的定时任务或者一般也会在写在定时文件里/var/spool/cron,将其删除,如果有自己的定时任务被删除掉,可以ls /var/log/cron*,根据日志来恢复
4.此时还应检查是否有公钥写入到目标系统的/root/.ssh下,可免密码登录目标ssh,如果有需要及时删除
5.建议:如果不需要外网访问,则修改设置 0.0.0.0:6379。只是本机访问则改为127.0.0.1:6379。设置redis访问密码,建议设置密码要复杂一点,因为redis允许长时间扫描。可以的话对redis的访问端口进行修改。
以上是关于关于Redis未授权访问漏洞被植入挖矿程序的主要内容,如果未能解决你的问题,请参考以下文章
Ghost博客系统官网被最新的SaltStack漏洞攻击并植入挖矿木马
Hadoop Yarn REST API未授权漏洞利用挖矿分析