Sim*_*low 6 server security malware
我最近开始使用远程 Ubuntu 服务器进行开发和测试机器。然而,托管服务提供商报告说一个加密挖掘过程正在运行,他不得不关闭服务器。
没有日志或任何数据可以识别该过程或任何可以帮助弄清楚发生了什么的东西。然后它又发生了,但这次他们抓住了这个:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
246369 redis 20 0 13928 11444 908 S 746.7 0.2 62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2
唯一打开的端口是 Redis 端口 6379。
admin@nicotine2:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
9200 DENY Anywhere
6379/tcp ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
9200 (v6) DENY Anywhere (v6)
6379/tcp (v6) ALLOW Anywhere (v6)
当我检查时,在任何/tmp/kmv地方都找不到文件夹。这已经是第二次了。
有什么线索、建议或建议可以避免这种情况吗?
小智 23
如果不启用身份验证,Redis 有一个众所周知的远程代码执行漏洞。
本文提供了有关您的确切问题的更多信息。
真正好的问题是:你安装了什么?
您很有可能安装了感染或易受此加密挖矿软件攻击的应用程序。这也可以在Docker 镜像中。
因此,卸载所有内容(或重新安装空白图像可能会更好),并在安装内容时监控您的服务器。当您安装受感染的加密挖矿软件时,您应该会看到一个巨大的 CPU 峰值。
编辑:如果您安装了较旧且易受攻击的 ElasticSearch 版本(或非官方 Docker 映像),答案很明显:安装最新的、官方的和安全补丁版本。
编辑 2:TheHermit 在这里有正确的答案,因为它是托管加密挖掘漏洞的 redis 进程。