特点:
1.redis缓存被清0;而且每天会执行一次;
2./root/.ssh/ 下多了几个文件。dump.rdb, foo.txt, authorized_keys里多了莫名的rsa字符串
3.redis-cli 检查,多了个key值crackit, value可能是rsa私钥自串或其它字串。
解决办法:
1.修改配置文件/etc/redis/redis.conf ,#bind 127.0.0.0 将这行注视去掉。由于我的服务器只本地访问,所以只改这一项就好,效果正在观察中。如果允许多台用户访问,建议设置访问密码;配置rename-command 配置项 “RENAME_CONFIG”,增加远程控制难度;用非root用户启动redis-server;
2.删除/root/.ssh/下所有无用的文件,另外所有私钥公钥建议删除,从新生成。因为很有可能被黑客写入了它们的钥匙,这样可以自由出入你的服务器
3.删除key值 crackit
4.查看 cat ./etc/passwd 清除多余的用户并且重置密码
http://www.secwk.com/article/info/detail/171175521112329340.html
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/
http://www.secpulse.com/archives/40406.html