挖矿?入侵?木马?都是redis没设密码搞的鬼

时间:2022-09-14 09:05:58

一大早的,就被阿里云的几百条安全消息刷了屏:

挖矿?入侵?木马?都是redis没设密码搞的鬼

内容都是这样的:

挖矿?入侵?木马?都是redis没设密码搞的鬼

看起来,不过对外攻击,我仿佛没有这个本事,感觉好像很严重的样子,然后,我登录了我的服务器

输入:

netstat -anp

查看已经打开的端口及服务,然后,震惊!

挖矿?入侵?木马?都是redis没设密码搞的鬼

不知道咋了,服务器自动的向大量ip发送数据包。

寻找原因: 估计是因为 Redis服务开启时没有设置密码 ,被外界攻击了。

                        前一天由于开放了6379端口,并且没有设置redis的访问限制,(为了使Jedis)。

public class JedisTest {
	public static void main(String[] args) {
		Jedis jedis = new Jedis("装了redis的IP", 6379);
		//jedis.auth("redis密码");  //就是这玩意,开始没有设置。
		System.out.println(jedis.ping());
	}

}

这是redis.conf中默认的绑定ip,而且默认关闭,可以设置去掉#,这样外网就无法访问redis了。

# bind 127.0.0.1

解决:

1,设置访问密码

    在 redis.conf 中找到 requirepass 字段,去掉其注释,并在后面填上需要的密码。

    Redis 客户端也需要使用此密码来访问 Redis 服务。

    打开 /etc/redis/redis.conf 配置文件:

requirepass 你的密码

    确保密码的复杂度,配置完毕后重启服务即可生效。

注意:以后启动redis服务时,尽量使用权限较小的用户登录。避免root。

  3、敲 top命令 回车后,发现下图

挖矿?入侵?木马?都是redis没设密码搞的鬼

其中 VIRT 含义是虚拟内存 , 仔细观察发现,pnscan进程不太正常,占用的虚拟内存太大。

然后,百度搜索pnscan ,发现:

挖矿?入侵?木马?都是redis没设密码搞的鬼


我就说嘛,我哪有本事攻击别人哪

1,很明显已经不是Redis的问题,然后就 kill -9 pid  掉进程

2,找到进程对应的文件 ps aux|grep pnscan  ,删掉文件。

OK!解决了

以上解决方法摘自:https://www.cnblogs.com/hero123/p/8953455.html


------------------------------------------我是分割线------------------------------------------


阿里云倒是没有给我发来邮件了,但是我感觉我的服务器受的伤害应该是不只这一点,

期间百度过,看到这样一篇文章 https://zhuanlan.zhihu.com/p/34587314 ,可是涨姿势了。

前面敲过tab命令,除了pnscan 这个木马,还有一个叫做gpg的进程,占了我的CPU高达94%啊,这是个什么玩意。

挖矿?入侵?木马?都是redis没设密码搞的鬼

我极度怀疑我的电脑变成了下图:

挖矿?入侵?木马?都是redis没设密码搞的鬼

百度./.gpg然而并没说什么有用的东东。

这个还是非常有用的: https://blog.csdn.net/mengruobaobao/article/details/79612423

所以啊:

redis不要没密码且暴露在公网上,分分钟被扫描到然后挂挖坑程序。