腾讯云刚拿到手的云服务器,第二天用docker部署了redis(参见docker安装并运行redis),第三天就被搞了(方法参见redis支持远程接入的安全防护问题)。这些扫描redis漏洞的工具效率确实高,一天之内就搞得你没法连上自己的机器。另外也说明了裸奔真的很危险。事情经过的这样的:

10月31号docker部署完了redis,默认端口6379开放给公网远程连接,无密码,root权限运行。11月1号发现云服务器登陆不上去了。11月2号从腾讯云的“控制台”扫码登陆后台,通过自我诊断发现CPU100%。操作云服务器的实例登陆web版本的远程终端,用top命令一看:

云服务器远程连接家里电脑 云服务器远程端口_云服务器远程连接家里电脑

CPU已经198%了,13832这个进程肯定不对,看了一眼:

云服务器远程连接家里电脑 云服务器远程端口_redis_02

果然是11月1号那天出事了。先把它用kill杀了,给cpu先降降温。

再看为啥ssh登陆不了,一查ssh服务,还是11月1号那天,22端口被篡改了,怪不得用22连接不上去:

云服务器远程连接家里电脑 云服务器远程端口_redis_03

我重新编辑了/etc/ssh/sshd_config文件,重新把端口改回了22,重启sshd,ssh终于可以远程登上了:

云服务器远程连接家里电脑 云服务器远程端口_云服务器远程连接家里电脑_04

我再看了一眼redis,发现被写入了一些东西:

云服务器远程连接家里电脑 云服务器远程端口_定时任务_05

很明显,这里是把redis的RDB文件持久化功能拿来做文章了。看了下定时任务,有个每小时执行一次的脚本:

云服务器远程连接家里电脑 云服务器远程端口_redis_06

另外还有全局定时任务,不过这两个里面没东西在跑:

云服务器远程连接家里电脑 云服务器远程端口_云服务器远程连接家里电脑_07

接着看了下redis的文件追加持久化aof文件——appendonly.aof(docker启动时打开了appendonly),发现RDB也曾经被用来做免密登陆过:

云服务器远程连接家里电脑 云服务器远程端口_云服务器远程连接家里电脑_08

执行了DEL删除操作,搞完了擦屁股。去看了下/root/.ssh目录下的免密登陆文件,时间上吻合:

云服务器远程连接家里电脑 云服务器远程端口_定时任务_09

看了下定时任务执行的ix.io上的脚本,发现被创建了一个新用户:

云服务器远程连接家里电脑 云服务器远程端口_docker_10

而且写入了/etc/sudoers,拥有了root权限:

云服务器远程连接家里电脑 云服务器远程端口_定时任务_11

机器上到处是毒啊,怎么办?把以上的东西都该删的删,该重装的重装吧。

先把定时任务删了吧:crontab -r,还有两个全局的:rm -f /etc/cron.deny/1m /etc/cron.deny/2m

再进入.ssh目录删掉免密登陆:rm -f authorized_keys,最好是让别人不能动这个目录,降低读写权限:chattr -i .ssh

把darmok用户删掉:userdel -r darmok,编辑/etc/sudoers删掉darmok的sudo权限

最后搞redis,进入/mydata/redis的data目录:rm -rf data,重新用docker安装一下(参见docker使用redis.conf配置文件方式启动redis无反应无日志)。