特點:
1.redis緩存被清0;而且每天會執行一次;
2./root/.ssh/ 下多了幾個文件。dump.rdb, foo.txt, authorized_keys裏多了莫名的rsa字符串
3.redis-cli 檢查,多了個key值crackit, value可能是rsa私鑰自串或其它字串。
解決辦法:
1.修改配置文件/etc/redis/redis.conf ,#bind 127.0.0.0 將這行注視去掉。由於我的服務器只本地訪問,所以只改這一項就好,效果正在觀察中。如果允許多臺用戶訪問,建議設置訪問密碼;配置rename-command 配置項 “RENAME_CONFIG”,增加遠程控制難度;用非root用戶啓動redis-server;
2.刪除/root/.ssh/下所有無用的文件,另外所有私鑰公鑰建議刪除,從新生成。因爲很有可能被黑客寫入了它們的鑰匙,這樣可以自由出入你的服務器
3.刪除key值 crackit
4.查看 cat ./etc/passwd 清除多餘的用戶並且重置密碼
http://www.secwk.com/article/info/detail/171175521112329340.html
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/
http://www.secpulse.com/archives/40406.html