由於我的疏忽,我兩個月前安裝的redis忘了設定密碼,也綁定了公網IP,所以我今天打開redis一看被注入了crackit這個字段,值為一個ssh-rsa,但是好像在這段期間我的root密碼一直沒被改過,請問是不是代表他只是注入了金鑰,但並沒有取代成功?
我剛裝完redis就註釋了這三行,理論上應該是關閉了持久化存儲功能吧,關閉了的話他使用這種方式還能不能成功黑掉我的服務器?
我問這個問題就是想確認一下我的伺服器是不是被他駭成功了?因為我伺服器上有重要數據,謝謝各位了!
由於我的疏忽,我兩個月前安裝的redis忘了設定密碼,也綁定了公網IP,所以我今天打開redis一看被注入了crackit這個字段,值為一個ssh-rsa,但是好像在這段期間我的root密碼一直沒被改過,請問是不是代表他只是注入了金鑰,但並沒有取代成功?
我剛裝完redis就註釋了這三行,理論上應該是關閉了持久化存儲功能吧,關閉了的話他使用這種方式還能不能成功黑掉我的服務器?
我問這個問題就是想確認一下我的伺服器是不是被他駭成功了?因為我伺服器上有重要數據,謝謝各位了!
這樣子就是關閉持久化。
看看/root/.ssh 下的authorized_keys有沒有異常
這個漏洞只能透過redis寫文件,主要就是寫ssh-rsa 然後在ssh登入上去
如果是透過redis執行的lua腳本,這個就沒法了。
如果被黑,也有可能會留下其他後門,然後把本次記錄給清楚掉。這樣子你就不知道你被黑過。