不会吧,不会吧,不会2020年了还有人中挖矿木马吧。
0x01.事情经过:
-
关于这台服务器:我有一台阿里云的服务器(不是学生机)专门拿来做项目测试用的,部署好一些我经常需要用的组件后,平常就没怎么管过。阿里云的检测什么的也都是好的。并且我观察阿里云上的性能和网络层都没有任何问题。
-
起疑: 有一次我做测试的时候,发现数据库和redis经常连接失败,查看日志发现有大量的用户在连接,并且ip是外国的。因为数据库的密码还给了合作开发的其它人,所以当时没太在意,就简单的做了一些连接限制,重启,就没有管了,不过当时还是分析了一波了,没有找到问题。
-
发现木马: 今晚写了一个脚本,打算到服务器上设置,图简单就去宝塔看了一下,发现宝塔读取文件失败,试了一些简单的办法没有效果后,开始直接去服务器上写cron。但是不管怎么都写不上,还改了些配置,重启了。再来查看一下cron的时候。好家伙,我直接好家伙,这东西反复下载一个未知ip的脚本,不就是木马嘛。
-
查木马: 查了它的ip,发现果然是:挖矿木马!!!
-
继续查找这个木马类型,这篇文章有详细介绍:https://bbs.pediy.com/thread-257986.htm
-
我还下载了那个脚本文件:
0x02.个人解决
- 个人不是专门做服务端安全的,所以就没有专门去分析木马了,怕把自己其它主机都搞没了,hhhhhh
- 最后的解决方案是:备份数据库,es等重要的数据文件,重置系统。像其它环境和集群就只能重新配了。
- 这对我来说应该算是最好的办法了,如果是真的上线项目的话,最好找安全公司查杀一下吧,或者进行细致的备份。
0x03.警示
- 该Redis版本为Redis server v=5.0.5 ,可能的遭受攻击的原因是弱口令(内测试用的服务器就没多想)。
- 多查看一下你的cron状态吧,一般的挖矿木马好像都会创建cron任务。
crontab -l
- 使用新版本的Redis,使用复杂的密码。
不说了,重装系统去。Hhhhhhhhhhh