关于Redis未授权访问漏洞被植入挖矿程序

时间：2019-05-24 11:14:30 阅读：114 评论：0 收藏：0 [点我收藏+]

1.由于安装低版本的redis，默认绑定在 0.0.0.0:6379，会将Redis服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据
2.此时服务公网端口被扫描到，植入挖矿程序，使用top命令可以看到cpu使用率被占满，把它kill掉cpu使用率马上就下降了，但是不一会cpu使用率又上了
3.这种情况打开crontab -l 可以看到有一条被植入的定时任务或者一般也会在写在定时文件里/var/spool/cron,将其删除，如果有自己的定时任务被删除掉，可以ls /var/log/cron*，根据日志来恢复
4.此时还应检查是否有公钥写入到目标系统的/root/.ssh下，可免密码登录目标ssh，如果有需要及时删除
5.建议：如果不需要外网访问，则修改设置 0.0.0.0:6379。只是本机访问则改为127.0.0.1:6379。设置redis访问密码，建议设置密码要复杂一点，因为redis允许长时间扫描。可以的话对redis的访问端口进行修改。

标签：任务设置读取导致情况下开启密码外网 redis未授权

原文地址：https://blog.51cto.com/14210437/2399413

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行