如题:有一台半闲置的服务器配了个 redis 服务。默认 6379 端口无密码可任意主机链接;
某天发现 redis 里存了几个莫名的 backup 的 key,value 是一个 sh 的 url 的 sh 脚本。
最终找到 http://xmr.ipzse.com:66/这个文件服务器,里面有端口扫描软件跟一些卸载阿里云,腾讯云防火墙的脚本。还有一些看不懂;
问题来了,
这些脚本在服务器运行后究竟在我服务器做了啥,对服务器有啥危害不,需要格式化整个服务器重启吗?
目前没发现服务器有什么异常的情况;
现在 redis 已经做了 requirepass 的设置,能防止此类情况再次发生吗?
 | 1 ZRS Aug 21, 2020 建议重装 |
 | 2 wakzz Aug 21, 2020 建议重装,你永远不知道被黑过的系统里被装了什么脚本和后门。以及检查一下同一个域下的其他主机,可能也被顺藤摸瓜黑进去了。 |
 | 3 opengps Aug 22, 2020 你不是做安全的大佬,一时半会发现不了全部影响,虽然你没什么重要业务,但这种情况还是重装比较省心 redis 是个内网服务,不适合暴露在公网 安全是个大问题,往往是几个弱点,组合起来就成了大灾难 |
 | 4 aulia Aug 22, 2020 via iPhone 大概率被挂挖矿木马,看看 crontab 里面有没有定时任务 |
 | 7 wjhjd163 Aug 22, 2020 via Android 肯定得重装啊 redis 是重灾区,有无数方法达到挂马的效果 无进程马之类的根本看不出来 |
 | 8 rb6221 Aug 22, 2020 via iPhone 对待安全,还是那句话,我说没问题你就不重装了吗?那出问题要不要我背锅啊。虽然这句话有点过,但是意思是那么个意思 |
Select Language