iptables开放6379端口且redis没设置密码致使服务器被植入挖矿病毒修改步骤

时间 2020-02-22

标签 iptables 开放端口 redis 设置密码致使服务器植入病毒修改步骤栏目系统网络繁體版

原文原文链接

前言:linux

redis开放远程访问须要注意,若是不设置密码或者密码设置的简单容易被黑客利用redis的漏洞植入病毒程序nginx

解决步骤:redis

第一步使用top命令查询当前cpu使用状况,查询出可疑的进程json

从图中能够知道sysupdate和networkservice这两个进程占用了大量cpu,并且也知道了他们的进程号分别是9987和10014vim

第二步:查看病毒进程所在的位置bash

ls -l proc/9987/exe

第三步:删除定时任务3d

crontab -r

第四步:kill掉病毒进程rest

kill -9 9987
kill -9 10014

第五步:从硬盘上删除这些垃圾病毒code

通常病毒文件都使用了 chattr +i 命令将文件设置为不得任意更动,因此咱们先 -iserver

# 先修改这些病毒文件的属性
chattr -i /etc/networkservice /etc/sysguard /etc/update.sh /etc/config.json
# 再强制删除
rm -rf /etc/networkservice /etc/sysguard /etc/update.sh /etc/config.json

第6步:修复SELinux

修改/etc/selinux/config文件,将#SELINUXTYPE=targeted注释掉,而后打开SELINUX=disabled

vi /etc/selinux/config

使更改生效,执行setenforce 0

setenforce 0

第7步:修复iptables

编辑文件:/etc/sysconfig/iptables,若是找不到这个文件就从新安装一次yum install iptables-services

把6379端口关闭掉

vim /etc/sysconfig/iptables

重启防火墙

systemctl restart iptables.service

第8步:重启redis,ngnix若是以前有安装的话,重启以后系统便可恢复正常

# 重启redis服务
/usr/local/redis/redis-server /usr/local/redis/redis.conf

# 重启nginx
/usr/local/nginx/sbin/nginx