记一次服务器被黑用做挖矿服务器

Linux 一零 10个月前 (04-14) 207次浏览 0个评论

在使用服务器的过程中突然发现 phpmyadmin 页面无法登录,查看服务器情况后发现——服务器崩了。

某日,我收到 VPS 服务器 CPU 告警,上服务器一看,有个叫做 gpg-agentd 的进程占用大量的 CPU 资源。接着就是常规的排查,IO 情况、网络流量、内存情况、系统日志、crontab 等。当排查到 crontab 时,发现 crontab 有如下的任务:

 

一、REDIS 未授权访问漏洞

Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。

2015 年该病毒爆发,网路上也有很多的分析报告。可是时隔两三年,该病毒依然阴魂不散,通过不断改变下载服务器 url,继续在网络中肆虐。第一说明利用 redis 感染病毒进行挖矿依然有利可图;第二说明暴露在公网上的 redis 服务器众多,有些管理员几乎到了麻木不仁的地步,对自身的主机系统的安全无动于衷,继续做网络攻击者的“帮凶”。


爱码星 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:记一次服务器被黑用做挖矿服务器
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到