CPU被挖礦,Redis竟是內鬼!

程式碼熬夜敲發表於2021-11-17

卻說這一日,Redis正如往常一般工作,不久便收到了一條SAVE命令。

雖說這Redis常被用來當做快取,資料只存在於記憶體中,卻也能通過SAVE命令將記憶體中的資料儲存到磁碟檔案中以便持久化儲存。

 只見Redis剛開啟檔案,準備寫入,不知何處突然衝出幾個大漢將其擒住。

到底是怎麼回事?Redis一臉懵。

這事還得要從一個月之前說起。

挖礦病毒

前情回顧CPU深夜狂飆,一幫大佬都傻眼了···

一個月前,突如其來的警報聲打破了Linux帝國夜晚的寧靜,CPU佔用率突然飆升,卻不知何人所為。在unhide的幫助下,總算揪出了隱藏的程式。本以為危機已經解除,豈料···

夜已深了,安全警報突然再一次響了起來。

“部長,rm那小子是假冒的,今天他騙了我們,挖礦病毒根本沒刪掉,又捲土重來了!”

安全部長望向遠處的天空,CPU工廠門口的風扇又開始瘋狂地轉了起來···

無奈之下,部長只好再次召集大家。

 

unhide再一次拿出看家本領,把潛藏的幾個程式給捉了出來。kill老哥拿著他們的pid,手起刀落,動作乾脆利落。

這一次,沒等找到真正的rm,部長親自動手,清理了這幾個程式檔案。

“部長,總這麼下去不是個辦法,刪了又來,得想個長久之計啊!”,一旁的top說到。

“一定要把背後的真凶給揪出來!”,ps說到。

“它們是怎麼混進來的,也要調查清楚!”,netstat說到。

“對,對,就是”,眾人皆附和。

部長起身說道,“大家說得沒錯,在諸位到來之前,我已經安排助理去核查了,相信很快會有線索。”

此時,防火牆上前說道:“為了防止走漏訊息,建議先停掉所有的網路連線”

“也罷,這三更半夜的,對業務影響也不大,停了吧!”,安全部長說到。

 

不多時,助理行色匆匆地趕了回來,在部長耳邊竊竊私語一番,聽得安全部長瞬時臉色大變。

“sshd留一下,其他人可以先撤了”,部長說到。

大夥先後散去,只留下sshd,心裡不覺忐忑了起來。

“等一下,kill也留一下”,部長補充道。

一聽這話,sshd心跳的更加快了。

 

助理關上了大門,安全部長輕聲說到:“據剛剛得到的訊息,有人非法遠端登入了進來,這挖礦病毒極有可能就是被人遠端上傳了進來”

sshd一聽這話大驚失色,慌忙問道:“難道登入密碼洩露了?”

“應該不是,是使用的公私鑰免密登入”,一旁的助理回答到。

“你看,在/root/.ssh/authorized_keys檔案中,我們發現了一個新的登入公鑰,這在之前是沒有的”,隨後,助理輸出了這檔案的內容:

[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······

“絕不是我乾的”,sshd急忙撇清。

“遠端登入,這不是你負責的業務嗎?”,助理問到。

“確實是我負責,但我也只是按程式辦事,他能用公私鑰登入的前提是得先把公鑰寫入進來啊,所以到底是誰寫進來的,這才是關鍵!”,sshd說到。

“說的沒錯,別緊張,想想看,有沒有看到過誰動過這個檔案?”,部長拍了下sshd的肩膀說到。

“這倒是沒留意”

部長緊鎖眉頭,來回走了幾步,說道:“那好,這公鑰我們先清理了。回去以後盯緊這個檔案,有人來訪問立刻報給我”

“好的”,sshd隨後離開,發現自己已經嚇出了一身冷汗。

 

凶手浮現

時間一晃,一個月就過去了。

自從把authorized_keys檔案中的公鑰清理後,Linux帝國總算是太平了一陣子,挖礦病毒入侵事件也漸漸被人淡忘。

這天晚上夜已深,sshd打起了瞌睡。

突然,“咣噹”一聲,sshd醒了過來,睜眼一看,竟發現有程式闖入了/root/.ssh目錄!

這一下sshd睡意全無,等了一個多月,難道這傢伙要現身了?

sshd不覺緊張了起來,到底會是誰呢?

此刻,sshd緊緊盯著authorized_keys檔案,眼睛都不敢眨一下,生怕錯過些什麼。

果然,一個身影走了過來,徑直走向這個檔案,隨後開啟了它!

sshd不敢猶豫,趕緊給安全部長助理髮去了訊息。

那背影轉過身來,這一下sshd看清了他的容貌,竟然是Redis

收到訊息的部長帶人火速趕了過來,不等Redis寫入資料,就上前按住了他。

“好傢伙,沒想到內鬼居然是你!”,sshd得意的說到。

 

Redis看著眾人,一臉委屈,“你們這是幹什麼?我也沒做什麼壞事啊”

“人贓並獲,你還抵賴?說吧,你為什麼要來寫authorized_keys檔案?”

“那是因為我要來執行資料持久化儲存,把記憶體中的資料寫到檔案中儲存”,Redis答道。

“你持久化儲存,為什麼會寫到authorized_keys檔案裡面來?”,sshd繼續質問。

“剛剛收到幾條命令,設定了持久化儲存的檔名就是這個,不信你看”,說罷,Redis拿出了剛剛收到的幾條命令:

CONFIG SET dir /root/.ssh
CONFIG SET dbfilename authorized_keys
SAVE

“第一條指定儲存路徑,第二條指定儲存的檔名,第三條就是儲存資料到檔案了”,Redis繼續解釋到。

 

安全部長仔細看著幾條命令,說道:“把你要寫入的資料給我看看”

“這可有點多,你等一下”,說罷,Redis拿出了所有的鍵值資料,散落一地。

眾人在一大片資料中看花了眼。

“部長快看!”,sshd突然大叫。

順著他手指的方向,一個醒目的公鑰出現在了大家面前。

ssh-rsa AAAAB3NzaC1yc2EAA···

“果然是你!”

 

Redis還是一臉懵,還不知發生了什麼。

“你這傢伙,被人當槍使了!你寫的這個檔案可不是普通檔案,你這要是寫進去了,別人就能遠端登入進來了,之前的挖礦病毒就是這麼進來的!”,sshd說到。

一聽這話,Redis嚇得趕緊掐斷了網路連線。

 

“給你下命令的究竟是誰,又是怎麼連線上你的?”,部長問到。

Redis不好意思的低下了頭,只說道:“不瞞您說,我這預設就沒有密碼,誰都可以連進來”

安全部長聽得眼睛都瞪圓了,憤而離去。

只聽得一聲大叫,kill老哥又一次手起刀落。

 

彩蛋

“部長,不好了”

“什麼事,慌慌張張的”

“我的資料全都被加密了!”,MySQL氣喘吁吁的說到···

推薦閱讀故事

相關文章