安全老司机|你的服务器被挖矿了吗？ – 作者:青藤云安全

近期，虽然虚拟币的交易市场仍处于持续暴跌状况，但服务器被挖矿的现象却屡见不鲜。很多不法攻击者利用系统脆弱性入侵服务器，并在服务器系统内部植入木马后门进行挖矿。

前几天凌晨1点，客户打电话跟我求助，反映服务器异常卡顿，并且接收到云服务商的邮件告警，提示服务器资源负载过高，严重影响正常运行。为此，我赶紧ssh进系统，top了下，发现某进程的CPU资源消耗极高，进程名并不是我司业务进程，很可能是被挖矿了。

–寻找原因-

首先，排查黑客是否通过漏洞进入。通过青藤入侵检测产品的后门检测功能进行扫描，发现在后门检测的告警消息中存在一条“挖矿”信息。通过文件分析，确定这是一个系统后门文件。

后门检测发现挖矿报警消息

–分析问题-

立马杀死进程，删除文件，但15分钟后该进程又自动开启。结合经验判断，这应该是系统定时任务的自动启动。立马通过青藤资产清点产品，清点查询所有计划任务，果然发现该机器上存在恶意挖矿脚本的定时任务，并且在该任务前面有redis标识。显然这条任务不是管理员设定，而是黑客通过redis应用写入的定时任务。由此，基本可以断定本次黑客正是通过redis系统存在的风险而侵入的。

发现Redis应用标识的定时任务

–解决问题-

redis到底存在什么样的风险呢？通过青藤风险发现产品，发现该服务器上redis应用存在空口令的情况。同时，利用产品对服务运行权限进行检测，发现redis正在以root高权限运行，并允许任何IP源访问。

redis应用存在弱密码高权限的风险

–解决之道-

找到根本原因后，解决问题就相对简单了。首先，增加redis密码为强口令；其次，限制redis运行权限，并限制该应用仅允许本机访问。最后，杀死进程并将定时任务和进程启动文件删除，观察几个小时后进程没再启动，网站访问速度恢复正常……

来源：freebuf.com 2019-06-05 15:19:32 by: 青藤云安全