背景:

   研发同事反应他自己的测试机器,有一个yum程序占用cpu很多,接近100%,然后他就将这个程序kill了。我一看他给我发的截图,原来不是“yum”,而是“yam”,第一反应就是让人当肉机了。上网一搜,果然有关yam的病毒,起因便是Redis未授权漏洞造成。

解决办法:

  0.首先将进程kill掉,通过top,ps,netstat,查看异常进程和端口

  1.将root密码改为复杂密码,上公网的密码一定要复杂

  2.禁止root远程登录,ssh端口已经通过外网映射了,没有最好改一下端口

  3.查看有没有黑客的ssh秘钥,有则删除,(我这台机器没有)

  4.开启防火墙,将用的端口开放,剩下的通过下面两条全部禁止

    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited

  5.查看计划任务,看黑客有没有添加脚本,(我这台机器没有)

  6.查看dns是否被修改

  7.通过find查找“yam”的可执行文件、lib和配置文件等,一律删除

  8.查看redis是否开放到外网了:

    默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,应改为bind 127.0.0.1

  9.redis添加认证:

    打开 /etc/redis/redis.conf,找到requirepass参数,设置密码,保存redis.conf,最后重启redis服务,/etc/init.d/redis-server restart (这里我没做)

  10.设置redis启动用户:(这里我没做)

    可设置一个单独的redis账户。创建redis账户,通过该账户启动redis服务,具体操作如下:setsid sudo -u redis /usr/bin/redis-serer /etc/redis/redis.conf

05-11 22:27