记一次帮水友排查Redis 数据自动清空的问题发现被入侵

csx

记一次帮水友排查Redis 数据自动清空的问题发现被入侵

一名水友说他的redis 老是自动清空,他把服务器给我让我康康。一开始想到应该是配置问题 或者 内存设置大小问题，还有就是硬盘容量问题。
后来登陆进去发现 内存够用 配置文件排查、log 查看问题都不大。在log中发现了 主从同步的的信息

                               
登录/注册后可看大图

然后就问了水友是不是有master 节点 有没有修改过redis 配置文件。水友都表示没有。我看log其他都正常也没多想。就先重启等下次清空的时候看看log


水友非常忙碌,今天下午问了他情况他表示 重启后依然会清空数据 。这个时候我重新看了log在狂刷

                               
登录/注册后可看大图

我看了下内存也没啥问题。cpu 占用率也不是特别高。然后看了一下 进程 发现redis 用户有两个进程。然后我查看了该进程的网络显示有其他连接

                               
登录/注册后可看大图

                               
登录/注册后可看大图

在网络连接中我发现水友的对外爆漏开发了 6379端口。我就试了一下水友是不是没加密。果然我直接连上来了！！！水友的安全意识真是太差了。。


然后通过redis 用户排查到一个可疑的进程 kswapd0。 该程序有两个进程 一个root 用户! 一个 redis用户。

                               
登录/注册后可看大图

而且在redis 中存储了一些 crontab 脚本。

                               
登录/注册后可看大图

然后我就搜索一下关键字 发现很久以前就有人中招了 https://www.cdsy.xyz/computer/security/240303/cd61021.html


感觉对方已经拿到root 权限。我建议水友重装一下来解决问题。我对清理这些东西不是很专业 也怕有残留。

水友也同意重装。并且在安装redis 后设置密码。希望后面水友顺利～