1 描述

??最近買了一臺云服務(wù)器進(jìn)行學(xué)習(xí)研究，然后裝了 redis，怎想到了某天晚上 22:00 開始服務(wù)器就卡頓了，輸入命令半天沒響應(yīng)，然后重新連接則多次超時。最后連接上去了，輸入命令 uptime ，顯示如下圖：

??我的服務(wù)器是 1 核心的，信息顯示有另一個用戶，而且后面三個參數(shù)都超過了 1，表示當(dāng)前 CPU 嚴(yán)重過載。

??再在云服務(wù)器管理頁面查看可視化界面，如下圖：

??沒遇到過這種情況，然后就提交了工單叫云服務(wù)器人員幫忙處理。

2 結(jié)果與分析

??結(jié)果是攻擊者通過 redis 的安全漏洞植入了 pnscan 病毒進(jìn)行挖礦。我在想，為啥我不知道問題出在哪，云服務(wù)人員可以精確排查出來呢？

??參考了以下其他大神的做法：https://blog.csdn.net/qq_35692642/article/details/114802172

3 總結(jié)

3.1 排查命令

• last 查看用戶登錄歷史

[root@VM-0-4-centos bin]# last root pts/3 xxx.xxx.xxx.xx Mon May 17 20:33 - 23:02 (02:29) root pts/2 xxx.xx.xx.xxx Mon May 17 19:00 - 22:44 (03:43)

• 查看所有用戶

[root@VM-0-4-centos bin]# cat /etc/passwd root:x:0:0:root:/root:/bin/bash .... .... .... mysql:!!:18584:::::: hilde:$6$7n/JDFOE87odFew68DSF6werKEEW8cewfF8DSOJDjefiOIFEWOR098klFEKLDFJOWU9:!!:8734:::::

一般出現(xiàn)類似于 hilde 這樣的用戶，或其他不知明的用戶，都是異常用戶。

• top 命令查看各進(jìn)程的狀態(tài)

[root@VM-0-4-centos bin]# top top - 13:42:59 up 6 days, 9:29, 1 user, load average: 0.00, 0.01, 0.05 Tasks: 70 total, 1 running, 69 sleeping, 0 stopped, 0 zombie %Cpu(s): 0.3 us, 0.0 sy, 0.0 ni, 99.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st KiB Mem : 1882008 total, 898076 free, 523696 used, 460236 buff/cache KiB Swap: 0 total, 0 free, 0 used. 1216876 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 986 mysql 20 0 1416048 423604 16728 S 0.3 22.5 0:45.10 mysqld 1 root 20 0 43548 3984 2596 S 0.0 0.2 0:01.25 systemd ...................................................

• 第一行：
  • 13:42:59 當(dāng)前系統(tǒng)時間
  • 6 days, 9:29 系統(tǒng)已經(jīng)運行了 6 天 6 小時 29 分鐘（在這期間沒有重啟過）
  • 1 users 當(dāng)前有1個用戶登錄系統(tǒng)
  • load average: 3.06,3.01, 1.79 load average 后面的三個數(shù)分別是 1 分鐘、5 分鐘、15 分鐘的負(fù)載情況。
  • load average 數(shù)據(jù)是每隔 5 秒鐘檢查一次活躍的進(jìn)程數(shù)，然后按特定算法計算出的數(shù)值。如果這個數(shù)除以邏輯 CPU 的數(shù)量，
  • 結(jié)果高于 5 的時候就表明系統(tǒng)在超負(fù)荷運轉(zhuǎn)了。
• 第三行：cpu 狀態(tài)
  • 0.3 us 用戶空間占用 CPU 的百分比。
  • 0.0 sy 內(nèi)核空間占用 CPU 的百分比。
  • 0.0 ni 改變過優(yōu)先級的進(jìn)程占用 CPU 的百分比
  • 99.7 id 空閑 CPU 百分比
  • 0.0 wa IO 等待占用 CPU 的百分比
  • 0.0 hi 硬中斷（Hardware IRQ）占用 CPU 的百分比
  • 0.0 si 軟中斷（Software Interrupts）占用 CPU 的百分比
• 第四行：內(nèi)存狀態(tài)
  • 1882008 total 物理內(nèi)存總量（1.8GB）
  • 898076 used 使用中的內(nèi)存總量（0.8GB）
  • 523696 free 空閑內(nèi)存總量（0.5G）
  • 460236 buffers 緩存的內(nèi)存量 （460M）
• 第七行以下：各進(jìn)程（任務(wù)）的狀態(tài)監(jiān)控
  • PID 進(jìn)程 id
  • USER 進(jìn)程所有者
  • PR 進(jìn)程優(yōu)先級
  • NI nice 值。負(fù)值表示高優(yōu)先級，正值表示低優(yōu)先級
  • VIRT 進(jìn)程使用的虛擬內(nèi)存總量，單位kb。VIRT = SWAP + RES
  • RES 進(jìn)程使用的、未被換出的物理內(nèi)存大小，單位kb。RES = CODE + DATA
  • SHR 共享內(nèi)存大小，單位 b
  • S 進(jìn)程狀態(tài)。D=不可中斷的睡眠狀態(tài) R = 運行 S = 睡眠 T = 跟蹤/停止 Z = 僵尸進(jìn)程
  • %CPU 上次更新到現(xiàn)在的 CPU 時間占用百分比
  • %MEM 進(jìn)程使用的物理內(nèi)存百分比
  • TIME + 進(jìn)程使用的 CPU 時間總計，單位1/100秒
  • COMMAND 進(jìn)程名稱（命令名/命令行）

注：先用 top 看看是不是有進(jìn)程不對勁，如果是那種定時的，進(jìn)程號一直變，大概率就是被黑了，如果 6379 端口開啟且 redis 沒設(shè)密碼，被植入惡意腳本的可能性很高，所以如果要在服務(wù)器上練習(xí) redis，切記最好在 redis.conf 中加入 requirpass password

3.2 安全防范建議

定期 備份/快照
關(guān)鍵數(shù)據(jù)定期備份、快照，這是防范勒索類惡意軟件的最佳方式。

服務(wù)器設(shè)置大寫、小寫、特殊字符、數(shù)字組成的 12-16 位的復(fù)雜密碼 ，推薦使用密碼生成器，自動生成復(fù)雜密碼，鏈接參考： https://suijimimashengcheng.51240.com/

刪除服務(wù)器上設(shè)置的不需要的用戶

對于不需要登錄的用戶，請將用戶的權(quán)限設(shè)置為禁止登錄

修改遠(yuǎn)程登錄服務(wù)的默認(rèn)端口號以及禁止超級管理員用戶登陸
(1) Windows 遠(yuǎn)程端口修改參考文檔： https://cloud.tencent.com/developer/article/1052163
(2) Linux 遠(yuǎn)程端口修改參考文檔： https://cloud.tencent.com/developer/article/1124500

安全的方法：只使用密鑰登錄禁止密碼登陸 （針對 Linux 系統(tǒng)）

云主機有安全組功能，里面您只需要放行業(yè)務(wù)協(xié)議和端口，不建議放行所有協(xié)議所有端口，參考文檔： https://cloud.tencent.com/document/product/215/20398

不建議向公網(wǎng)開放核心應(yīng)用服務(wù)端口訪問，例如 mysql、 redis 等，您可修改為本地訪問或禁止外網(wǎng)訪問 。針對 redis 漏洞可以參考 https://www.freebuf.com/column/170710.html

不建議向公網(wǎng)開放運維工具的訪問，例如寶塔面板、 phpmyadmin 等。針對 phpmyadmin 漏洞可以參考 https://www.cnblogs.com/M0rta1s/p/11517423.html

如果您的本地外網(wǎng) IP 固定，建議使用安全組或者系統(tǒng)防火墻禁止除了本地外網(wǎng) IP 之外所有 IP 的登錄請求
需注意：
(1). 做好云服務(wù)器系統(tǒng)的安全防護(hù)可以有效加強云服務(wù)器系統(tǒng)安全， 但也無法保證絕對安全。
(2) 建議定期做好云服務(wù)器系統(tǒng)的安全巡檢及數(shù)據(jù)備份，以防突發(fā)情況導(dǎo)致數(shù)據(jù)丟失、或業(yè)務(wù)不可用。
(3) 收到主機安全的告警通知，務(wù)必第一時間登錄云平臺進(jìn)行處置。

總結(jié)

以上是生活随笔為你收集整理的排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。