問題描述

由于redis沒有配置，黑客利用redis安全漏洞入侵了服務(wù)器。服務(wù)器cpu占用率一直處于高位，用top命令發(fā)現(xiàn)有個(gè)進(jìn)程(/usr/sbin/tplink -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 43rBm98TWYnJdGhHmPChR7)非常吃cpu，于是用kill命令殺，發(fā)現(xiàn)提示無相關(guān)進(jìn)程號(hào)，說明進(jìn)程號(hào)是偽造的，不是真實(shí)的。于是直接刪除這個(gè)文件/usr/sbin/tplink,可以刪除。但是重啟服務(wù)器之后，這個(gè)進(jìn)程又出來了，然后查看了開機(jī)啟動(dòng)等文件都沒有發(fā)現(xiàn)異常。

接著，通過rkhunter工具分析發(fā)現(xiàn)很多命令被篡改了。

接著用另外一臺(tái)正常的服務(wù)器程序替換所有被篡改的文件。然后重啟，所有相關(guān)文件又被篡改。redis.conf也沒辦法正常配置，啟動(dòng)redis-server 如果后面帶了redis.conf配置文件就沒法啟動(dòng)，不帶redis.conf就能夠啟動(dòng)。卸載了redis，然后重新安裝redis，依然無法解決。跪求大神相助，這些問題如何解決，如何徹底清除該木馬。

問題解答

看看這個(gè) ： 鏈接描述

另外提醒下，redis最好要設(shè)置密碼，版本最好使用2.8以后的版本，2.8以及以前的可能有漏洞

1、修改默認(rèn)端口2、auth強(qiáng)度高一點(diǎn)3、bind ip4、修改配置文件，不允許執(zhí)行config命令中了毒還是做系統(tǒng)吧，簡(jiǎn)單有效。這個(gè)毒隨便就能登服務(wù)器，什么都有可能被注入，殺毒太麻煩。。。

配置如果寫對(duì)的話，是可以指定配置文件的。非得暴露到外網(wǎng)的話，可以配置里面加認(rèn)證，另外建議改下端口。6379太危險(xiǎn)了。。

不能讓服務(wù)暴露在公網(wǎng).會(huì)通過redis的相關(guān)操作寫文件,就會(huì)出現(xiàn)你這種情況,我是沒有遇到過,但是知道有這事兒..