avatar

Catalog
docker redis被任意链接 导致被kdevtmpfsi挖矿记录

发现问题

1585050453066

top看到了kdevtmpfsi进程一直在吃cpu。

最后发现是dockerredis的容器被挖矿了。

问题产生

我是用自己编写的https://gitee.com/lyxxxh/lnmp编译镜像的。

redis监听的是0.0.0.0 映射宿主机的6379端口。

没有设置密码 被随意链接

我防火墙没有开放6379端口 怎么会可以连接呢?

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@VM_0_2_centos lnmp]# firewall-cmd --list-all
...
ports: 20/tcp 21/tcp 22/tcp 80/tcp 8888/tcp 39000-40000/tcp 12121/tcp 12121/udp 13131/tcp 13131/udp 443/tcp 4000/tcp 4000/udp 8081/tcp 8081/udp 4443/tcp 4443/udp

可以看到 6379端口没有开放


[root@VM_0_2_centos lnmp]# iptables -nL
...
DNAT tcp -- anywhere VM_0_2_centos tcp dpt:6379 to:172.18.0.2:6379


原因就是这里,将本地的6379映射到容器的6379

它不会经过防火墙的,直接映射的 !

解决

.env修改配置

  1. REDIS_PORT=6379改成REDIS_PORT=127.0.0.1:6379 //只有本地才可以链接了

  2. docker-compose up --build

当然也可以配置密码 监听主机等方式解决

为什么被链接就会挖矿

其他博主的文章
Redis挖矿原理及防范

有点奇怪的是

dockerredis没有装ssh,也没有/root/.ssh目录的
不用ssh 他怎么放病毒的?我让他再进入一次把,看看他是怎么放病毒的。

redis-cli -h 134.175.80.215 就可以链接到我的redis了

Author: xxh
Link: http://lblog.club/2020/03/25/docker_redis_kdevtmpfsi/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.

Comment