Redis에 crackit이 주입되었는데 영구 저장 기능을 끄면 내 서버가 해킹되었는지 어떻게 확인할 수 있나요?

제 부주의로 인해 두 달 전에 설치한 redis의 비밀번호 설정도 잊어버리고 퍼블릭 IP에도 바인딩해 두었습니다. 그래서 오늘 redis를 열어보니 crackit 필드가 인젝션된 것을 보니 값이 ssh였습니다. -rsa. 그런데 이 기간 동안 내 루트 비밀번호가 변경되지 않은 것 같습니다. 방금 키를 삽입했지만 성공적으로 교체하지 못했다는 뜻인가요?

redis를 설치한 직후에 이 세 줄을 댓글로 달았습니다. 이론적으로 영구 저장 기능이 꺼져 있으면 이 방법으로 내 서버를 해킹할 수 있을까요?

내 서버가 그 사람에 의해 성공적으로 해킹되었는지 확인하기 위해 이 질문을 합니다. 제 서버에 중요한 데이터가 있어서 다들 감사드립니다!

답글 내용:

제 부주의로 인해 두 달 전에 설치한 Redis의 비밀번호를 설정하는 것을 잊어버렸고, 이를 공용 IP에 바인딩했습니다. 그래서 오늘 Redis를 열어보니 ssh 값과 함께 crackit 필드가 삽입된 것을 확인했습니다. -rsa. 그런데 이 기간 동안 내 루트 비밀번호가 변경되지 않은 것 같습니다. 방금 키를 삽입했지만 성공적으로 교체하지 못했다는 뜻인가요?

redis를 설치한 직후에 이 세 줄을 댓글로 달았습니다. 이론적으로 영구 저장 기능이 꺼져 있으면 이 방법으로 내 서버를 해킹할 수 있을까요?

내 서버가 그 사람에 의해 성공적으로 해킹되었는지 확인하기 위해 이 질문을 합니다. 제 서버에 중요한 데이터가 있어서 다들 감사드립니다!

지속성을 끄는 것입니다.
/root/.ssh 아래의 authenticate_keys에 이상이 있는지 확인
이 취약점은 redis를 통해서만 파일을 쓸 수 있으며 주로 ssh-rsa를 작성한 후 ssh를 통해 로그인합니다
lua 스크립트가 실행되는 경우 redis를 통해서는 불가능합니다.
해킹되면 다른 백도어가 남을 수 있으며 이때의 기록은 지워집니다. 이렇게 하면 해킹당했다는 사실을 알 수 없습니다.