记一次帮水友排查Redis 数据自动清空的问题发现被入侵
记一次帮水友排查Redis 数据自动清空的问题发现被入侵一名水友说他的redis 老是自动清空,他把服务器给我让我康康。一开始想到应该是配置问题 或者 内存设置大小问题,还有就是硬盘容量问题。
后来登陆进去发现 内存够用 配置文件排查、log 查看问题都不大。在log中发现了 主从同步的的信息
https://pic.imgdb.cn/item/65d9c0a99f345e8d03bd3b70.png
然后就问了水友是不是有master 节点 有没有修改过redis 配置文件。水友都表示没有。我看log其他都正常也没多想。就先重启等下次清空的时候看看log
水友非常忙碌,今天下午问了他情况他表示 重启后依然会清空数据 。这个时候我重新看了log在狂刷
https://pic.imgdb.cn/item/65d9c11d9f345e8d03be6d85.png
我看了下内存也没啥问题。cpu 占用率也不是特别高。然后看了一下 进程 发现redis 用户有两个进程。然后我查看了该进程的网络显示有其他连接
https://pic.imgdb.cn/item/65d9c1d19f345e8d03c03a21.jpg
https://pic.imgdb.cn/item/65d9c2639f345e8d03c1b5c8.jpg
在网络连接中我发现水友的对外爆漏开发了 6379端口。我就试了一下水友是不是没加密。果然我直接连上来了!!!水友的安全意识真是太差了。。
然后通过redis 用户排查到一个可疑的进程 kswapd0。 该程序有两个进程 一个root 用户! 一个 redis用户。
https://pic.imgdb.cn/item/65d9c2a79f345e8d03c25f7b.jpg
而且在redis 中存储了一些 crontab 脚本。
https://pic.imgdb.cn/item/65d9c2e99f345e8d03c3079a.jpg
然后我就搜索一下关键字 发现很久以前就有人中招了 https://www.cdsy.xyz/computer/security/240303/cd61021.html
感觉对方已经拿到root 权限。我建议水友重装一下来解决问题。我对清理这些东西不是很专业 也怕有残留。
水友也同意重装。并且在安装redis 后设置密码。希望后面水友顺利~
页:
[1]