CPU 被挖矿，Redis 竟是内鬼

此时，防火墙上前说道：“为了防止走漏消息，建议先停掉所有的网络连接”

“也罢，这三更半夜的，对业务影响也不大，停了吧！”，安全部长说到。

不多时，助理行色匆匆地赶了回来，在部长耳边窃窃私语一番，听得安全部长瞬时脸色大变。

“sshd留一下，其他人可以先撤了”，部长说到。

大伙先后散去，只留下sshd，心里不觉忐忑了起来。

“等一下，kill也留一下”，部长补充道。

一听这话，sshd心跳的更加快了。

助理关上了大门，安全部长轻声说到：“据刚刚得到的消息，有人非法远程登录了进来，这挖矿病毒极有可能就是被人远程上传了进来”

sshd一听这话大惊失色，慌忙问道：“难道登录密码泄露了？”

“应该不是，是使用的公私钥免密登录”，一旁的助理回答到。

“你看，在/root/.ssh/authorized_keys文件中，我们发现了一个新的登录公钥，这在之前是没有的”，随后，助理输出了这文件的内容：

[root@xuanyuan ~]# cat .ssh/authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······

“绝不是我干的”，sshd急忙撇清。

“远程登录，这不是你负责的业务吗？”，助理问到。

“确实是我负责，但我也只是按程序办事，他能用公私钥登录的前提是得先把公钥写入进来啊，所以到底是谁写进来的，这才是关键！”，sshd说到。

“说的没错，别紧张，想想看，有没有看到过谁动过这个文件？”，部长拍了下sshd的肩膀说到。

“这倒是没留意”

部长紧锁眉头，来回走了几步，说道：“那好，这公钥我们先清理了。回去以后盯紧这个文件，有人来访问立刻报给我”

“好的”，sshd随后离开，发现自己已经吓出了一身冷汗。

2、凶手浮现

---

时间一晃，一个月就过去了。

自从把authorized_keys文件中的公钥清理后，Linux帝国总算是太平了一阵子，挖矿病毒入侵事件也渐渐被人淡忘。

这天晚上夜已深，sshd打起了瞌睡。

突然，“咣当”一声，sshd醒了过来，睁眼一看，竟发现有程序闯入了/root/.ssh目录！

这一下sshd睡意全无，等了一个多月，难道这家伙要现身了？

sshd不觉紧张了起来，到底会是谁呢？

此刻，sshd紧紧盯着authorized_keys文件，眼睛都不敢眨一下，生怕错过些什么。

果然，一个身影走了过来，径直走向这个文件，随后打开了它！

sshd不敢犹豫，赶紧给安全部长助理发去了消息。

那背影转过身来，这一下sshd看清了他的容貌，竟然是Redis！

收到消息的部长带人火速赶了过来，不等Redis写入数据，就上前按住了他。

“好家伙，没想到内鬼居然是你！”，sshd得意的说到。

Redis看着众人，一脸委屈，“你们这是干什么？我也没做什么坏事啊”

“人赃并获，你还抵赖？说吧，你为什么要来写authorized_keys文件？”

“那是因为我要来执行数据持久化存储，把内存中的数据写到文件中保存”，Redis答道。

“你持久化存储，为什么会写到authorized_keys文件里面来？”，sshd继续质问。

“刚刚收到几条命令，设置了持久化存储的文件名就是这个，不信你看”，说罢，Redis拿出了刚刚收到的几条命令：