TA的每日心情 | 怒 前天 13:01 |
---|
签到天数: 1643 天 [LV.Master]伴坛终老
|
下面是本人亲身经历,太可怕了。这里给大家一些建议:对于一些程序,自己没用过,测试放到虚拟机里面去测试,切勿放到实体机服务器上去,因为有的时候不是你的原因,是程序自身的原因,导致你的服务器被提权。一步一步测试,没问题之后,了解它的漏洞,知己知彼嘛。好了废话不多说,下面进入主题
前段时间自己搭建了redis,本人对redis也是刚接触,所以不知道有什么注意,自己也只是想自己测试随便测试一下,没想到,过了一段时间之后,看到服务器上的CPU被沾满了,于是使用了htop命令,我擦,CPU几乎没有了,看到apache进程占用了867%资源(CPU),于是执行了下面的步骤:
pkillall apache
这下CPU降下来了,但是我想想,apache进程我没开启啊,哪来的apache进程,而且就算开启apache,apache进程的用户也是apache用户,也不是root用户。
后来自己也没多想,自己想可能服务商搞得鬼,因为我之前跟他们吵了一架,因为实在太忙,就没多去理会它,但是不就之后,CPU又上来了,还是apache进程
考虑了很长时间,是什么原因导致的呢?因为我的服务器没有对外,只有你我一个人知道,应该不会有啥问题啊。后来查了一下任务计划,果然有猫腻,我擦
在/etc/cron.daily/0anacron,于是乎查了一下里面的内容,果不然不对劲。代码如下:
里面代码最可怕的是,他搞了一个免密钥登陆的脚本,就是不用密码,直接root登录服务器,具体的你们自己查看那个地址,自己看,一看就知道了
下面是清除它的办法:
1、清除任务计划,把/etc/下面所有的任务计划都检查一遍,包括cron.daily、cron.hourly、cron.weekly、cron.monthly等等。不对劲的,直接删除
2、删除/root/.ssh/下面的认证文件,是黑客免秘钥登录的凭证,所以我们要删除它。这里我们想应该可以了,可还是不行,因为我重启了机器,在/root/.ssh/又出现了认证文件,还是之前的那个。因为我们的漏洞还没补上,即redis漏洞。这里我们先不说redis漏洞怎么修补。我们也可以通过第三步
3、添加防火墙规则,在上面的任务计划内容里面,出现了一些IP,不管什么IP,先禁止了再说。防火墙规则如下:
于是乎再次重启,没出现了,过了一两天了,我上去看了一下,CPU资源正常,也没有什么异常进程了,任务计划也都是正常的,ssh认证文件也没有了,不过这没有解决问题,根本上,因为我们没有修复redis漏洞,这里我们只需要设置redis密码认证即可
关于redis密码认证设置可以参考:redis配置认证密码
|
|