背景:
研发同事反应他自己的测试机器,有一个yum程序占用cpu很多,接近100%,然后他就将这个程序kill了。我一看他给我发的截图,原来不是“yum”,而是“yam”,第一反应就是让人当肉机了。上网一搜,果然有关yam的病毒,起因便是Redis未授权漏洞造成。
解决办法:
0.首先将进程kill掉,通过top,ps,netstat,查看异常进程和端口
1.将root密码改为复杂密码,上公网的密码一定要复杂
2.禁止root远程登录,ssh端口已经通过外网映射了,没有最好改一下端口
3.查看有没有黑客的ssh秘钥,有则删除,(我这台机器没有)
4.开启防火墙,将用的端口开放,剩下的通过下面两条全部禁止
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
5.查看计划任务,看黑客有没有添加脚本,(我这台机器没有)
6.查看dns是否被修改
7.通过find查找“yam”的可执行文件、lib和配置文件等,一律删除
8.查看redis是否开放到外网了:
默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,应改为bind 127.0.0.1
9.redis添加认证:
打开 /etc/redis/redis.conf,找到requirepass参数,设置密码,保存redis.conf,最后重启redis服务,/etc/init.d/redis-server restart (这里我没做)
10.设置redis启动用户:(这里我没做)
可设置一个单独的redis账户。创建redis账户,通过该账户启动redis服务,具体操作如下:setsid sudo -u redis /usr/bin/redis-serer /etc/redis/redis.conf
4296
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
