今天在騰訊雲上搭的開發環境裡的一台機器cpu load飚升老高,然後還能登陸上去,top後發現兩個可疑程序、/root/目錄下有修改過的檔案、/opt目錄被幹掉了,
後經分析,這台機器上有redis外網服務,/root目錄下還有個READ_ME.txt, 内容如下:
中招了,,兩個可疑程序
在騰訊雲上找到篇處理步驟:
Redis 預設情況下,會綁定在 0.0.0.0:6379,這樣會将 Redis 服務暴露到公網上,在Redis伺服器沒有開啟認證的情況下,可以導緻任意使用者在可以通路目标伺服器的情況下成功在Redis 伺服器上寫入公鑰,進而可以使用對應私鑰直接登入目标伺服器進行遠端控制,使您的主機淪陷為殭屍電腦,敏感資料洩漏,為避免您的業務受影響,建議您及時進行加強。
【漏洞概述】
Redis 預設情況下,會綁定在 0.0.0.0:6379,導緻Redis服務暴露到公網上。
如果在沒有開啟認證并且在任意使用者可以通路目标伺服器的情況下,進而可以未授權通路Redis服務,進一步可進行資料增删改查,甚至擷取伺服器權限等惡意操作。
【風險等級】
高風險
【漏洞風險】
主機被遠端控制,洩漏敏感業務資料;
【漏洞利用條件】
1. Redis服務以root賬戶運作;
2. Redis無密碼或弱密碼進行認證;
3. Redis監聽在0.0.0.0公網上;
【加強建議】
1. 禁止Redis服務對公網開放,可通過修改redis.conf配置檔案中的"#bind 127.0.0.1" ,去掉前面的"#"即可(Redis本來就是作為記憶體資料庫,隻要監聽在本機即可);
2. 設定密碼通路認證,可通過修改redis.conf配置檔案中的"requirepass" 設定複雜密碼 (需要重新開機Redis服務才能生效);
3. 對通路源IP進行通路控制,可在防火牆限定指定源ip才可以連接配接Redis伺服器;
4. 修改Redis預設端口,将預設的6379端口修改為其他端口;
5. 禁用config指令避免惡意操作,在Redis配置檔案redis.conf中配置rename-command項"RENAME_CONFIG",這樣即使存在未授權通路,也能夠給攻擊者使用config 指令加大難度;
6. Redis使用普通使用者權限,禁止使用 root 權限啟動Redis 服務,這樣可以保證在存在漏洞的情況下攻擊者也隻能擷取到普通使用者權限,無法擷取root權限;
【清理木馬】
如果您的雲主機已經被利用并上傳了木馬,參考木馬清理方案如下:
1. 阻斷伺服器通訊。
(如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP)
2. 清除定時器任務。
(如systemctl stop crond 或者crontab –e 删除未知的計劃任務)
3. 删除木馬和未知公鑰檔案。
(如 /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權;chmod –x 惡意程式)
4. 終止木馬程序。
(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)
5. 終止惡意service
(檢視是否有惡意的服務,如lady - service ladystop)
現已恢複!
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)