Linux 云服务器中毒了

有快照就回滚，没有就重装吧，以免后患

开 ssh，让我上去看看。

#1 +1

你干嘛把入网端口打开呢？

如果没有重要资料在上面就直接删掉重新安装系统就可以了，redis / mongo 这种全部按默认，然后暴露公网的最容易被搞

@pynix 把 redis 安服务器上

@jjc27017 改了用户名试试，不行就重装

猜测 redis 未授权导致的，看看定时任务和进程有没有挖矿程序运行

@javashell 有定时任务，会从 https://pastebin.com/上 down 程序，每天一点运行

@Hanbuger 那也不要开公网端口啊，你还本地机器链接远程 redis ？你连接的时候没有想过不需要密码这件事？

@pynix 之前都是在内网用 redis，在外网是第一次，不知道这个漏洞...

@Hanbuger 如果不是你设置的定时任务，先删掉定时任务在 kill 进程，关闭公网 redis 端口或设置密码再看看

你这没啥损失重装就行了，以前我有一台机器中招了流量给我跑超了 2000 多块钱，钱被扣了才发现，肠子都悔青了。

@javashell 定时任务删了，过一会又会有。redis 端口已经关了，还换了系统用户名。现在就是纳闷是在哪里生成的定时任务

@1O 我还好，这是我个人的

@Hanbuger 进程一般有守护程序的

@javashell 有办法找出来或者阻止吗

问题解决了吗，你指的 redis 默认安装存在问题，需要如何避免？ 刚好最近在看 redis，我安装就是 make make install

开 SSH 我来给你弄

重装吧，估计很多基础命令都被换了

@defunct9 哥们这句话好眼熟哈哈

用着 win server2012 正常。

妥妥的 redis 开默认没密码

让我康康！

最好是直接删了重开一个吧，那些脚本做了什么排查起来很耗时间的，改了底层的话你继续用又不知道。之后注意高危软件的配置就好了（不使用默认端口，账号密码认证登录，最好能指定源 ip 地址访问）

之前我的云服务器也中毒了，分析一波发现是挖矿的。

skill -STOP 15753

你可以通过上面这个命令，冻结进程，让后慢慢分析。

改本地 host 让脚本更新地址失效就好 :doge:

我也遇到过，最好的方法还是重装。舍不得的话看看 redis 里面有没有奇怪的数据多出来，看看服务器上有没有多出用户。

重装吧，保险点， 安全组只开 ssh / http(s)

重装保险点。以前也碰上过，后来 redis 就老老实实跑 docker 里了

@Hanbuger https://blog.csdn.net/rochenhack/article/details/85125232 <-不知道是不是

公司老服务器中过同样的枪，给你个方案参考一下：

1. 改 /etc/hosts 先屏蔽 pastebin.com
2. 清理各个用户下的 crontab 中的自动下载脚本
3. 用 ll -rt 在 /etc/init.d/下看一下最近添加的启动脚本
4. 用 lsof -p 看内存中这些垃圾进程打开的文件句柄关联的文件，并清理之。
5. 确认没问题，取消 pastebin.com 的屏蔽
6. 重启过一段时间确认没有问题。
done.

我都是开在 loopback 接口上，然后需要调试的时候直接 ssh 本地映射过来(这样在机器上看过去就是 localhost 连接到服务器上的)弄的。。。

这时候就体现容器化的好处了

我也中了这个病毒，crontab -l 的输出如下
https://pastebin.com/pUdCnuT4
大概看了下，base64 编码，作者邮箱（自称） [email protected]

1. 不用 root 启动 Redis
2. 可以的话不用默认端口
3. 开启授权认证，密码建议 32 位以上

重新开一台 数据导过来以后 原来的直接废弃

很久没关注`redis`的挖矿木马了，解决方案参考：[对抗这种 rootkit 难度爆表，，回滚更划算，]( https://www.v2ex.com/t/537457?p=1)

改了用户名，好像运行的代码里会判断用户名是否等于 root，过了一天发现定时任务里没有增加，再等等看好不好使

这种问题 直接回滚或重装系统，别想能清理干净 rootkit，别报一丝希望