去发现生活中的美好,记录生活中的点点滴滴

关于redis免密导致服务器被挖矿程序minerd入侵解决方案

linux admin 274℃

如果redis开放了远程连接,并且没有开启密码验证,就会让redis留有后门缺陷,通过利用redis的免帐号密码漏洞进行入侵,解决方案:

首先,执行top命令,找出占用CPU最高的(一般会达到100%以上),然后按以下命令执行:

rm -rf /var/spool/cron
rm -rf /var/spool/cron/crontabs
rm -rf ~/.ssh/KHK75NEOiq
rm -rf /opt/KHK75NEOiq33
rm -rf /opt/*
rm -rf /etc/init.d/ntp
rm -rf /usr/sbin/ntp
rm -rf /usr/local/etc
ps -ef|grep ntp 杀掉
pkill ntp
ps -ef|grep minerd 杀掉
清理 crontab
清除sshd_config中的权限配置
最后sshd_conf禁止root登录

当然,redis的漏洞也要修复:

1、配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379,如果非必须远程连接,请关闭远程连接,并bind本机127.0.0.1;

2、配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中;

3、配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度;

4、好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf;

记得重启

redis-server redis.conf

文献参考:
http://blog.csdn.net/hu_wen/article/details/51908597

转载请注明:永盟博客 » 关于redis免密导致服务器被挖矿程序minerd入侵解决方案

喜欢 (1)