黑帽联盟

标题: Redis漏洞被黑客利用来挖矿，占用CPU资源 [打印本页]

作者: 定位 时间: 2017-4-13 00:13
标题: Redis漏洞被黑客利用来挖矿，占用CPU资源
下面是本人亲身经历，太可怕了。这里给大家一些建议：对于一些程序，自己没用过，测试放到虚拟机里面去测试，切勿放到实体机服务器上去，因为有的时候不是你的原因，是程序自身的原因，导致你的服务器被提权。一步一步测试，没问题之后，了解它的漏洞，知己知彼嘛。好了废话不多说，下面进入主题

前段时间自己搭建了redis，本人对redis也是刚接触，所以不知道有什么注意，自己也只是想自己测试随便测试一下，没想到，过了一段时间之后，看到服务器上的CPU被沾满了，于是使用了htop命令，我擦，CPU几乎没有了，看到apache进程占用了867%资源（CPU），于是执行了下面的步骤：

pkillall apache

这下CPU降下来了，但是我想想，apache进程我没开启啊，哪来的apache进程，而且就算开启apache，apache进程的用户也是apache用户，也不是root用户。

后来自己也没多想，自己想可能服务商搞得鬼，因为我之前跟他们吵了一架，因为实在太忙，就没多去理会它，但是不就之后，CPU又上来了，还是apache进程

考虑了很长时间，是什么原因导致的呢？因为我的服务器没有对外，只有你我一个人知道，应该不会有啥问题啊。后来查了一下任务计划，果然有猫腻，我擦

在/etc/cron.daily/0anacron，于是乎查了一下里面的内容，果不然不对劲。代码如下：

里面代码最可怕的是，他搞了一个免密钥登陆的脚本，就是不用密码，直接root登录服务器，具体的你们自己查看那个地址，自己看，一看就知道了

下面是清除它的办法：
1、清除任务计划，把/etc/下面所有的任务计划都检查一遍，包括cron.daily、cron.hourly、cron.weekly、cron.monthly等等。不对劲的，直接删除

2、删除/root/.ssh/下面的认证文件，是黑客免秘钥登录的凭证，所以我们要删除它。这里我们想应该可以了，可还是不行，因为我重启了机器，在/root/.ssh/又出现了认证文件，还是之前的那个。因为我们的漏洞还没补上，即redis漏洞。这里我们先不说redis漏洞怎么修补。我们也可以通过第三步

3、添加防火墙规则，在上面的任务计划内容里面，出现了一些IP，不管什么IP，先禁止了再说。防火墙规则如下：

于是乎再次重启，没出现了，过了一两天了，我上去看了一下，CPU资源正常，也没有什么异常进程了，任务计划也都是正常的，ssh认证文件也没有了，不过这没有解决问题，根本上，因为我们没有修复redis漏洞，这里我们只需要设置redis密码认证即可

关于redis密码认证设置可以参考：redis配置认证密码

作者: qiaoqingyi 时间: 2018-5-5 21:06

1111111111111111

作者: zhang1230 时间: 2019-6-29 18:21
不错

作者: 97604696 时间: 2019-7-15 08:50
这个得学习一下

作者: chinama 时间: 2019-9-9 16:23
学习一下，谢谢！

作者: xdd2019007 时间: 2020-12-26 19:04
Redis漏洞被黑客利用来挖矿

作者: leng463445899 时间: 2021-11-1 16:34
这个得学习一下

欢迎光临黑帽联盟 (https://bbs.cnblackhat.com/)