>科技>>正文

云计算高考真题解析|Redis漏洞导致阿里云服务器被挖矿minerd入侵的解决办法

原标题:云计算高考真题解析|Redis漏洞导致阿里云服务器被挖矿minerd入侵的解决办法

本站内容来源:

阿里云河南服务中心(www.aliyunhn.com)

云服务热线:0371-56982772/2774

本文由阿里云河南服务中心,自带光环的【高级技术·李工】提供。

  • 早上一上班就接到一位客户求助,说:“我手机一直报警,救命呀!”

  • 作为一名阿里云的技术,我“迷之尴尬”了半天,

  • 故作镇定的问道:“什么报警,手机?是您目前生命受到了威胁要报警,还是手机要炸了?"

  • 客户解释道,是手机短信一直在提示我的服务器报警了,快帮我看看我的云服务器出啥事了!

以下内容我知道老板们、运营们.....是看不懂的,那么请将此文章请转给你们的技术吧,很重要!!!!

事件起因描述完毕,以下开始言归正传

1、首先我先进入客户的管理台检查到底是出了什么问题。

  • 检查发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU

  • 去查看启动的服务,尽然没有lady 这个服务。 找不到始作俑者,那个minerd进程删掉就又起来了;

  • 后来想了个临时办法,先停掉了挖矿的进程。

2、那怎么关闭访问挖矿服务器的访问?(真题解析来了,敲黑板,快划重点了)

  1. iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

  2. iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

  3. 2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。

  4. pkill minerd ,杀掉进程

  5. service stop crond 或者 crontab -r 删除所有的执行计划

  6. 执行top,查看了一会,没有再发现minerd 进程了。

解决minerd并不是最终的目的,主要是要查找问题根源,服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,

然后就注入了病毒

下面是解决办法和清除工作

  1. 修复 redis 的后门,配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

  2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

  3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

  4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

  5. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

  6. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.

云计算高考真题解析

Redis漏洞导致阿里云服务器被挖矿minerd入侵的解决办法

解析完毕

我知道老板们、运营们.....

就算是看完了还是

一脸“迷之尴尬”

那么将此文章请转给你们的技术吧

很重要!!!!

阿里云河南服务中心(www.aliyunhn.com)

云服务热线:0371-56982772/2774返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
投诉
免费获取
今日搜狐热点
今日推荐