腾讯云刚拿到手的云服务器,第二天用docker部署了redis(参见docker安装并运行redis),第三天就被搞了(方法参见redis支持远程接入的安全防护问题)。这些扫描redis漏洞的工具效率确实高,一天之内就搞得你没法连上自己的机器。另外也说明了裸奔真的很危险。事情经过的这样的:
10月31号docker部署完了redis,默认端口6379开放给公网远程连接,无密码,root权限运行。11月1号发现云服务器登陆不上去了。11月2号从腾讯云的“控制台”扫码登陆后台,通过自我诊断发现CPU100%。操作云服务器的实例登陆web版本的远程终端,用top命令一看:
CPU已经198%了,13832这个进程肯定不对,看了一眼:
果然是11月1号那天出事了。先把它用kill杀了,给cpu先降降温。
再看为啥ssh登陆不了,一查ssh服务,还是11月1号那天,22端口被篡改了,怪不得用22连接不上去:
我重新编辑了/etc/ssh/sshd_config文件,重新把端口改回了22,重启sshd,ssh终于可以远程登上了:
我再看了一眼redis,发现被写入了一些东西:
很明显,这里是把redis的RDB文件持久化功能拿来做文章了。看了下定时任务,有个每小时执行一次的脚本:
另外还有全局定时任务,不过这两个里面没东西在跑:
接着看了下redis的文件追加持久化aof文件——appendonly.aof(docker启动时打开了appendonly),发现RDB也曾经被用来做免密登陆过:
执行了DEL删除操作,搞完了擦屁股。去看了下/root/.ssh目录下的免密登陆文件,时间上吻合:
看了下定时任务执行的ix.io上的脚本,发现被创建了一个新用户:
而且写入了/etc/sudoers,拥有了root权限:
机器上到处是毒啊,怎么办?把以上的东西都该删的删,该重装的重装吧。
先把定时任务删了吧:crontab -r,还有两个全局的:rm -f /etc/cron.deny/1m /etc/cron.deny/2m
再进入.ssh目录删掉免密登陆:rm -f authorized_keys,最好是让别人不能动这个目录,降低读写权限:chattr -i .ssh
把darmok用户删掉:userdel -r darmok,编辑/etc/sudoers删掉darmok的sudo权限
最后搞redis,进入/mydata/redis的data目录:rm -rf data,重新用docker安装一下(参见docker使用redis.conf配置文件方式启动redis无反应无日志)。