俗話說安全猛于虎，之前多多少少有所小體會(huì)；這次的上線Redis服務(wù)器被劫嚴(yán)重影響了開發(fā)測試和線上環(huán)境，在解決的過程也對(duì)安全方面了解了很多；總結(jié)了這次過程的排查流程以及采取的相應(yīng)測試，在此與大家共享。

1、開發(fā)，生產(chǎn)，測試服務(wù)器(shiro :246;開發(fā):251; 測試:204;生產(chǎn):164,165)每臺(tái)機(jī)器的Redis服務(wù)（全部或部分，其中若為單機(jī)版的Redis則為全部，有集群則為部分）未啟動(dòng)；

注:判斷Redis啟動(dòng)沒問題的步驟：

（1）利用命令: ps -ef | grep redis 查詢Redis服務(wù)（下圖以246為例，黃框部分代表6379的Redis服務(wù)正在運(yùn)行）

（2）在客戶機(jī)上利用Redis Desktop Manager客戶端連接服務(wù)（能夠連上并加裝上數(shù)據(jù)說明Redis服務(wù)正常）---（若連接不上檢查服務(wù)器和個(gè)人機(jī)的防火墻，以及Redis的配置文件中的bind綁定的IP）

2、將Redis服務(wù)重新啟動(dòng)，發(fā)現(xiàn)Redis服務(wù)沒有起來:

（1）查詢Redis所占用的進(jìn)程---用ps -ef |grep redis 命令查詢Redis服務(wù)的進(jìn)程號(hào)（如下圖，黃框中代表Redis在6379的端口啟動(dòng)著，所占用進(jìn)程為3684）

（2）用kill -9 3684（Redis所占用的進(jìn)程號(hào)，集群版可能有多個(gè)端口號(hào)需要都?xì)⒌簦?/p>

（3）用./redis-server & 命令啟動(dòng)Redis

（4）正常啟動(dòng)后發(fā)現(xiàn)不報(bào)錯(cuò)，并能正常訪問，這次發(fā)現(xiàn)Redis服務(wù)竟然沒有起來

1、通過檢查所有Redis服務(wù)發(fā)現(xiàn)共同的特點(diǎn)：使用默認(rèn)端口6379的都掛掉;其中246的情況最為嚴(yán)重（246上執(zhí)行命令反應(yīng)比較環(huán)慢）

2、在246上查看服務(wù)器性能消耗情況（執(zhí)行top命令，出來數(shù)據(jù)后用Ctrl+C組合鍵數(shù)據(jù)按CPU排序，用Ctrl+M鍵按內(nèi)存排序），發(fā)現(xiàn)有一惡意進(jìn)程持續(xù)占用CPU特別高，如下：

3、懷疑此惡意進(jìn)程是黑客通過定時(shí)任務(wù)或開機(jī)啟動(dòng)腳本植入，在246服務(wù)器上用crontab –r發(fā)現(xiàn)一定時(shí)任務(wù)：

4、去網(wǎng)上查，操作了部分：將/var/spool/cron目錄下的root文件刪除（文件內(nèi)容為3中的定時(shí)任務(wù)），用（kill-9 PID）將惡意進(jìn)程（AnXqV.yam）殺掉觀察；

5、發(fā)現(xiàn)過了五六分鐘這個(gè)進(jìn)程又自己起來，此時(shí)在246上通過命令find / -name AnXqV查看發(fā)現(xiàn)有很多文件和網(wǎng)上遇到情況一樣確認(rèn)被挖礦入侵

6、通過本地瀏覽器訪問定時(shí)任務(wù)中的網(wǎng)址:http://www.haveabitchin.com/pm.sh?0222從黑客網(wǎng)站上下載一個(gè)腳本（pm.sh）；

7、分析pm.sh中的文件發(fā)現(xiàn)了黑客想做的事情，大概內(nèi)容如下：

8、根據(jù)pm中的相關(guān)路徑將246上如下惡意文件刪除：

（1）/var/spool/cron/root

（2）/var/spool/cron/crontabs/root

（3）~/.ssh/authorized_keys

（4）/var/spool/cron/authorized_keys

（5）/tmp中的11個(gè)文件

查看了這幾個(gè)文件除了log文件其他均為亂碼，查看log文件內(nèi)容：

①一直試圖在訪問病毒的網(wǎng)站

②在DNS上查找一些網(wǎng)址，猜測它是監(jiān)測服務(wù)器是否可以有通路訪問到它的網(wǎng)站

③在站長之家上查詢IP信息，再查詢Digital Ocean猜測應(yīng)該是某黑客在Digital Ocean上租用的服務(wù)來搞的：

④其中它對(duì)應(yīng)的網(wǎng)站：

9、檢查其他Redis服務(wù)器上有無可疑文件，發(fā)現(xiàn)204上的一個(gè)可疑文件，/var/spool/cron/中的root；

10、將246上的可疑文件和redis緩存文件dump.rdb以及204上的可疑文件刪除，啟動(dòng)各個(gè)Redis服務(wù)器的服務(wù)正常。

注：246上刪除redis的緩存文件如下：

/tmp/dump.rdb

/usr/local/redis/bin/ dump.rdb

/var/spool/cron/ dump.rdb

11、現(xiàn)在再看看情況，其中有疑惑的地方：

（1）病毒通過哪臺(tái)機(jī)器以及如何入侵到局域網(wǎng)，現(xiàn)在連外網(wǎng)機(jī)器除了ITOO的生產(chǎn)Jboss外還有其他機(jī)器

（2）246和204的病毒是自己本身上的病毒還是局域網(wǎng)其他機(jī)器來遙控的

1、Redis本身防護(hù)

（1）不要使用默認(rèn)端口（6379）

（2）增加Redis用戶名和密碼

（3）在Redis綁定指定IP訪問(位置配置文件[redis.config]中的bind節(jié)點(diǎn))

2、Linux服務(wù)器

（1）Redis服務(wù)器不要暴露在外網(wǎng)

（2）開啟防火墻，限制IP可以訪問(iptables命令)

（3）用容器（如Docker等）管理起服務(wù)器，這樣中病毒后排查不出原因需要重新裝環(huán)境的時(shí)候影響小并且可以快速恢復(fù)。

1、CentOS7安裝redis被AnXqV挖礦程序入侵

2、阿里云服務(wù)器被挖礦minerd入侵的解決辦法

3、Google基礎(chǔ)設(shè)施安全設(shè)計(jì)概述翻譯和導(dǎo)讀

4、codis與pika的docker化?（Redis替代解決方案）

1、安全無小事，重視起安全；

2、在偵查病毒的時(shí)候，真如一朋友所說想破案一樣；

3、要事第一，學(xué)會(huì)衡量；在這次解決的過程中，因?yàn)閲?yán)重影響了開發(fā)人員的開發(fā)，所以在解決的過程中要先穩(wěn)定開發(fā)環(huán)境，不能讓人員閑置起來。

馬哥教育精英線下Linux班鄭州校區(qū)開班倒計(jì)時(shí)，優(yōu)惠四重享，贈(zèng)送高達(dá)4000元的學(xué)習(xí)大禮包：

第一重：4月30日前報(bào)名，立減400元，名額有限搶完為止；

第二重：4月30日前報(bào)名，贈(zèng)送馬哥教育內(nèi)部Linux知識(shí)精講教材一本（價(jià)值666元）；

第三重：4月30日前報(bào)名，贈(zèng)送馬哥教育實(shí)體服務(wù)器使用資格（價(jià)值1666元）；

第四重：4月30日前報(bào)名，贈(zèng)送馬哥教育云學(xué)堂學(xué)習(xí)權(quán)限1個(gè)（價(jià)值1999元）；