富贵长生天做主由不得我
钢骨正气我做主由不得天

记一次CentOS7因Redis配置不当导致被Root提权沦为矿机修复过程

攻击原理
由于服务器Redis服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过Redis内置的命令将自己的公钥写入到/root/.ssh/authorized_keys文件夹下,进而可以直接免密登录到服务器上,并在服务器中植入恶意脚本,实现利用服务器挖矿操作。

解决方案
1.首先使用top命令排查系统中占用率极高的进程

一般挖矿脚本在启动后,会极度消耗CPU资源,使用top命令查看服务器中启动的进程。(此处因已结束相关进程,未见异常。)

top

2.停止异常进程

kill -9 {进程号}
3.删除ssh下生成的异常公钥

3.1 查看异常公钥

3.2 去除文件隐藏属性

查看文件隐藏属性

lsattr {文件名}
去除隐藏属性(需要去除哪个属性就加上对应的参数)

chattr -iae 
————————————————
10.防范措施

新增普通用户,禁止远程登录,以此用户启动Redis服务。

修改redis.conf文件中的bind 127.0.0.1为为自己数据库要访问的地址

bind x.x.x.x
在redis.conf中新增requirepass字段

requirepass {复杂密码}
————————————————

原文链接:https://blog.csdn.net/mdzz14/article/details/111656726

赞(0)
未经允许不得转载:网站快照劫持代码-快照删除-黑帽SEO » 记一次CentOS7因Redis配置不当导致被Root提权沦为矿机修复过程

评论 抢沙发

评论前必须登录!