Linux 云服务器中毒了

@defunct9 哥们这句话好眼熟哈哈

用着 win server2012 正常。

妥妥的 redis 开默认没密码

让我康康！

最好是直接删了重开一个吧，那些脚本做了什么排查起来很耗时间的，改了底层的话你继续用又不知道。之后注意高危软件的配置就好了（不使用默认端口，账号密码认证登录，最好能指定源 ip 地址访问）

之前我的云服务器也中毒了，分析一波发现是挖矿的。

skill -STOP 15753

你可以通过上面这个命令，冻结进程，让后慢慢分析。

改本地 host 让脚本更新地址失效就好 :doge:

我也遇到过，最好的方法还是重装。舍不得的话看看 redis 里面有没有奇怪的数据多出来，看看服务器上有没有多出用户。

重装吧，保险点， 安全组只开 ssh / http(s)

重装保险点。以前也碰上过，后来 redis 就老老实实跑 docker 里了

@Hanbuger https://blog.csdn.net/rochenhack/article/details/85125232 <-不知道是不是

公司老服务器中过同样的枪，给你个方案参考一下：

1. 改 /etc/hosts 先屏蔽 pastebin.com
2. 清理各个用户下的 crontab 中的自动下载脚本
3. 用 ll -rt 在 /etc/init.d/下看一下最近添加的启动脚本
4. 用 lsof -p 看内存中这些垃圾进程打开的文件句柄关联的文件，并清理之。
5. 确认没问题，取消 pastebin.com 的屏蔽
6. 重启过一段时间确认没有问题。
done.

我都是开在 loopback 接口上，然后需要调试的时候直接 ssh 本地映射过来(这样在机器上看过去就是 localhost 连接到服务器上的)弄的。。。

这时候就体现容器化的好处了

我也中了这个病毒，crontab -l 的输出如下
https://pastebin.com/pUdCnuT4
大概看了下，base64 编码，作者邮箱（自称） jeff4r-partner@tutanota.com

1. 不用 root 启动 Redis
2. 可以的话不用默认端口
3. 开启授权认证，密码建议 32 位以上

重新开一台 数据导过来以后 原来的直接废弃

很久没关注`redis`的挖矿木马了，解决方案参考：[对抗这种 rootkit 难度爆表，，回滚更划算，]( https://www.v2ex.com/t/537457?p=1)

改了用户名，好像运行的代码里会判断用户名是否等于 root，过了一天发现定时任务里没有增加，再等等看好不好使

这种问题 直接回滚或重装系统，别想能清理干净 rootkit，别报一丝希望