找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 文档 工具 设计
查看: 286|回复: 0

记一次帮水友排查Redis 数据自动清空的问题发现被入侵

[复制链接]

2万

主题

1249

回帖

2万

积分

超级版主

教育辅助界扛把子

附加身份标识
精华
1
热心
7
听众
1
威望
48
贡献
14307
违规
0
书币
49981
注册时间
2020-4-8

论坛元老灌水之王

发表于 2024-3-3 12:33 | 显示全部楼层 |阅读模式
记一次帮水友排查Redis 数据自动清空的问题发现被入侵

一名水友说他的redis 老是自动清空,他把服务器给我让我康康。一开始想到应该是配置问题 或者 内存设置大小问题,还有就是硬盘容量问题。
后来登陆进去发现 内存够用 配置文件排查、log 查看问题都不大。在log中发现了 主从同步的的信息

                               
登录/注册后可看大图



然后就问了水友是不是有master 节点 有没有修改过redis 配置文件。水友都表示没有。我看log其他都正常也没多想。就先重启等下次清空的时候看看log


水友非常忙碌,今天下午问了他情况他表示 重启后依然会清空数据 。这个时候我重新看了log在狂刷

                               
登录/注册后可看大图



我看了下内存也没啥问题。cpu 占用率也不是特别高。然后看了一下 进程 发现redis 用户有两个进程。然后我查看了该进程的网络显示有其他连接

                               
登录/注册后可看大图


                               
登录/注册后可看大图

在网络连接中我发现水友的对外爆漏开发了 6379端口。我就试了一下水友是不是没加密。果然我直接连上来了!!!水友的安全意识真是太差了。。


然后通过redis 用户排查到一个可疑的进程 kswapd0。 该程序有两个进程 一个root 用户! 一个 redis用户。

                               
登录/注册后可看大图



而且在redis 中存储了一些 crontab 脚本。

                               
登录/注册后可看大图



然后我就搜索一下关键字 发现很久以前就有人中招了 https://www.cdsy.xyz/computer/security/240303/cd61021.html


感觉对方已经拿到root 权限。我建议水友重装一下来解决问题。我对清理这些东西不是很专业 也怕有残留。

水友也同意重装。并且在安装redis 后设置密码。希望后面水友顺利~







Great works are not done by strength, but by persistence! 历尽艰辛的飞升者,成了围剿孙悟空的十万天兵之一。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 需要先绑定手机号


免责声明:
本站所发布的第三方软件及资源(包括但不仅限于文字/图片/音频/视频等仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢某程序或某个资源,请支持正版软件及版权方利益,注册或购买,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To: admin@cdsy.xyz

QQ|Archiver|手机版|小黑屋|城东书院 ( 湘ICP备19021508号-1|湘公网安备 43102202000103号 )

GMT+8, 2024-11-21 17:53 , Processed in 0.034538 second(s), 26 queries .

Powered by Discuz! CDSY.XYZ

Copyright © 2019-2023, Tencent Cloud.

快速回复 返回顶部 返回列表