在使用服务器的过程中突然发现phpmyadmin页面无法登录,查看服务器情况后发现——服务器崩了。
某日,我收到 VPS 服务器 CPU 告警,上服务器一看,有个叫做 gpg-agentd 的进程占用大量的 CPU 资源。接着就是常规的排查,IO 情况、网络流量、内存情况、系统日志、crontab 等。当排查到 crontab 时,发现 crontab 有如下的任务:
一、REDIS未授权访问漏洞
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。
2015年该病毒爆发,网路上也有很多的分析报告。可是时隔两三年,该病毒依然阴魂不散,通过不断改变下载服务器url,继续在网络中肆虐。第一说明利用 redis 感染病毒进行挖矿依然有利可图;第二说明暴露在公网上的redis服务器众多,有些管理员几乎到了麻木不仁的地步,对自身的主机系统的安全无动于衷,继续做网络攻击者的“帮凶”。
