一次被攻擊的體驗

今天本來高高興興地在開發項目，當我打開redis遠程管理的時候突然發現，資料庫中多了兩條奇怪的數據。

我當時就發現這個ip我不認識啊，而且這個明顯是cron的定時腳本，我心想不會是我開發的時候不小心把一些什麼奇奇怪怪的東西寫到redis里了吧。但是我的項目緩存沒有持久的，這個TTL:-1讓我覺得十分奇怪。

抱著好奇，我把這個ip查一了一下 是加拿大的伺服器。

我心想我一個阿里雲的學生伺服器，我也沒往牆外走過，這個肯定不是我主動造成。接著我嘗試直接訪問這個地址，看到的結果令我大吃一驚。

這是shell腳本啊，我被攻擊了。

一直聽聞網路黑客神乎其神，但是長在紅旗下的我還真沒怎麼一對一遇到過黑客攻擊，這一波我要仔細瞅瞅。問了一下專攻安全的學弟，才知道這個黑客的手段。

大概攻擊手段如下

1. 由於弱口令進入redis
2. 本地生成公私鑰文件，把公鑰文件通過redis >config set 注到我的伺服器中
3. 通過本地私鑰 ssh –i id_rsa root@xxx.xxx.xx.xx 直接獲取伺服器

不重視網路安全，活該被攻擊，還好這台伺服器只是我測試用的，最後解決辦法，找到這段rsa刪除，redis密碼加強。仔細分析代碼還被執行了"sr0.db"腳本，有可能是後門腳本。以後只能悠著點了。

技術參考：

Redis 未授權訪問配合 SSH key 文件利用分析

推薦閱讀：