卻說(shuō)這一日,Redis正如往常一般工作充易,不久便收到了一條SAVE命令梗脾。
雖說(shuō)這Redis常被用來(lái)當(dāng)做緩存,數(shù)據(jù)只存在于內(nèi)存中盹靴,卻也能通過(guò)SAVE命令將內(nèi)存中的數(shù)據(jù)保存到磁盤文件中以便持久化存儲(chǔ)炸茧。
只見Redis剛打開文件,準(zhǔn)備寫入稿静,不知何處突然沖出幾個(gè)大漢將其擒住梭冠。
到底是怎么回事?Redis一臉懵改备。
這事還得要從一個(gè)月之前說(shuō)起控漠。
挖礦病毒
前情回顧:CPU深夜狂飆,一幫大佬都傻眼了···
一個(gè)月前,突如其來(lái)的警報(bào)聲打破了Linux帝國(guó)夜晚的寧?kù)o盐捷,CPU占用率突然飆升偶翅,卻不知何人所為。在
unhide的幫助下碉渡,總算揪出了隱藏的進(jìn)程聚谁。本以為危機(jī)已經(jīng)解除,豈料···
夜已深了爆价,安全警報(bào)突然再一次響了起來(lái)垦巴。
“部長(zhǎng),rm那小子是假冒的铭段,今天他騙了我們骤宣,挖礦病毒根本沒(méi)刪掉,又卷土重來(lái)了序愚!”
安全部長(zhǎng)望向遠(yuǎn)處的天空憔披,CPU工廠門口的風(fēng)扇又開始瘋狂地轉(zhuǎn)了起來(lái)···
無(wú)奈之下,部長(zhǎng)只好再次召集大家爸吮。
unhide再一次拿出看家本領(lǐng)芬膝,把潛藏的幾個(gè)進(jìn)程給捉了出來(lái)。kill老哥拿著他們的pid形娇,手起刀落锰霜,動(dòng)作干脆利落。
這一次桐早,沒(méi)等找到真正的rm癣缅,部長(zhǎng)親自動(dòng)手,清理了這幾個(gè)程序文件哄酝。
“部長(zhǎng)友存,總這么下去不是個(gè)辦法,刪了又來(lái)陶衅,得想個(gè)長(zhǎng)久之計(jì)奥帕ⅰ!”搀军,一旁的top說(shuō)到膨俐。
“一定要把背后的真兇給揪出來(lái)!”罩句,ps說(shuō)到焚刺。
“它們是怎么混進(jìn)來(lái)的,也要調(diào)查清楚的止!”檩坚,netstat說(shuō)到。
“對(duì),對(duì)匾委,就是”拖叙,眾人皆附和。
部長(zhǎng)起身說(shuō)道赂乐,“大家說(shuō)得沒(méi)錯(cuò)薯鳍,在諸位到來(lái)之前,我已經(jīng)安排助理去核查了挨措,相信很快會(huì)有線索挖滤。”
此時(shí)浅役,防火墻上前說(shuō)道:“為了防止走漏消息斩松,建議先停掉所有的網(wǎng)絡(luò)連接”
“也罷,這三更半夜的觉既,對(duì)業(yè)務(wù)影響也不大惧盹,停了吧!”瞪讼,安全部長(zhǎng)說(shuō)到钧椰。
不多時(shí),助理行色匆匆地趕了回來(lái)符欠,在部長(zhǎng)耳邊竊竊私語(yǔ)一番嫡霞,聽得安全部長(zhǎng)瞬時(shí)臉色大變。
“sshd留一下希柿,其他人可以先撤了”诊沪,部長(zhǎng)說(shuō)到。
大伙先后散去狡汉,只留下sshd娄徊,心里不覺忐忑了起來(lái)闽颇。
“等一下盾戴,kill也留一下”,部長(zhǎng)補(bǔ)充道兵多。
一聽這話尖啡,sshd心跳的更加快了。
助理關(guān)上了大門剩膘,安全部長(zhǎng)輕聲說(shuō)到:“據(jù)剛剛得到的消息衅斩,有人非法遠(yuǎn)程登錄了進(jìn)來(lái),這挖礦病毒極有可能就是被人遠(yuǎn)程上傳了進(jìn)來(lái)”
sshd一聽這話大驚失色怠褐,慌忙問(wèn)道:“難道登錄密碼泄露了畏梆?”
“應(yīng)該不是,是使用的公私鑰免密登錄”,一旁的助理回答到奠涌。
“你看宪巨,在/root/.ssh/authorized_keys文件中,我們發(fā)現(xiàn)了一個(gè)新的登錄公鑰溜畅,這在之前是沒(méi)有的”捏卓,隨后,助理輸出了這文件的內(nèi)容:
[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······
“絕不是我干的”慈格,sshd急忙撇清怠晴。
“遠(yuǎn)程登錄,這不是你負(fù)責(zé)的業(yè)務(wù)嗎浴捆?”蒜田,助理問(wèn)到。
“確實(shí)是我負(fù)責(zé)选泻,但我也只是按程序辦事物邑,他能用公私鑰登錄的前提是得先把公鑰寫入進(jìn)來(lái)啊,所以到底是誰(shuí)寫進(jìn)來(lái)的滔金,這才是關(guān)鍵色解!”,sshd說(shuō)到餐茵。
“說(shuō)的沒(méi)錯(cuò)科阎,別緊張,想想看忿族,有沒(méi)有看到過(guò)誰(shuí)動(dòng)過(guò)這個(gè)文件锣笨?”,部長(zhǎng)拍了下sshd的肩膀說(shuō)到道批。
“這倒是沒(méi)留意”
部長(zhǎng)緊鎖眉頭错英,來(lái)回走了幾步,說(shuō)道:“那好隆豹,這公鑰我們先清理了椭岩。回去以后盯緊這個(gè)文件璃赡,有人來(lái)訪問(wèn)立刻報(bào)給我”
“好的”判哥,sshd隨后離開,發(fā)現(xiàn)自己已經(jīng)嚇出了一身冷汗碉考。
兇手浮現(xiàn)
時(shí)間一晃塌计,一個(gè)月就過(guò)去了。
自從把authorized_keys文件中的公鑰清理后侯谁,Linux帝國(guó)總算是太平了一陣子锌仅,挖礦病毒入侵事件也漸漸被人淡忘章钾。
這天晚上夜已深,sshd打起了瞌睡热芹。
突然伍玖,“咣當(dāng)”一聲,sshd醒了過(guò)來(lái)剿吻,睜眼一看窍箍,竟發(fā)現(xiàn)有程序闖入了/root/.ssh目錄!
這一下sshd睡意全無(wú)丽旅,等了一個(gè)多月椰棘,難道這家伙要現(xiàn)身了?
sshd不覺緊張了起來(lái)榄笙,到底會(huì)是誰(shuí)呢邪狞?
此刻,sshd緊緊盯著authorized_keys文件茅撞,眼睛都不敢眨一下帆卓,生怕錯(cuò)過(guò)些什么。
果然米丘,一個(gè)身影走了過(guò)來(lái)剑令,徑直走向這個(gè)文件,隨后打開了它拄查!
sshd不敢猶豫吁津,趕緊給安全部長(zhǎng)助理發(fā)去了消息。
那背影轉(zhuǎn)過(guò)身來(lái)堕扶,這一下sshd看清了他的容貌碍脏,竟然是Redis!
收到消息的部長(zhǎng)帶人火速趕了過(guò)來(lái)稍算,不等Redis寫入數(shù)據(jù)典尾,就上前按住了他。
“好家伙糊探,沒(méi)想到內(nèi)鬼居然是你钾埂!”,sshd得意的說(shuō)到侧到。
Redis看著眾人勃教,一臉委屈淤击,“你們這是干什么匠抗?我也沒(méi)做什么壞事啊”
“人贓并獲,你還抵賴污抬?說(shuō)吧汞贸,你為什么要來(lái)寫authorized_keys文件绳军?”
“那是因?yàn)槲乙獊?lái)執(zhí)行數(shù)據(jù)持久化存儲(chǔ),把內(nèi)存中的數(shù)據(jù)寫到文件中保存”矢腻,Redis答道门驾。
“你持久化存儲(chǔ),為什么會(huì)寫到authorized_keys文件里面來(lái)多柑?”奶是,sshd繼續(xù)質(zhì)問(wèn)。
“剛剛收到幾條命令竣灌,設(shè)置了持久化存儲(chǔ)的文件名就是這個(gè)聂沙,不信你看”,說(shuō)罷初嘹,Redis拿出了剛剛收到的幾條命令:
CONFIG SET dir /root/.ssh
CONFIG SET dbfilename authorized_keys
SAVE
“第一條指定保存路徑及汉,第二條指定保存的文件名,第三條就是保存數(shù)據(jù)到文件了”屯烦,Redis繼續(xù)解釋到坷随。
安全部長(zhǎng)仔細(xì)看著幾條命令,說(shuō)道:“把你要寫入的數(shù)據(jù)給我看看”
“這可有點(diǎn)多驻龟,你等一下”温眉,說(shuō)罷,Redis拿出了所有的鍵值數(shù)據(jù)翁狐,散落一地芍殖。
眾人在一大片數(shù)據(jù)中看花了眼。
“部長(zhǎng)快看谴蔑!”豌骏,sshd突然大叫。
順著他手指的方向隐锭,一個(gè)醒目的公鑰出現(xiàn)在了大家面前窃躲。
ssh-rsa AAAAB3NzaC1yc2EAA···
“果然是你!”
Redis還是一臉懵钦睡,還不知發(fā)生了什么蒂窒。
“你這家伙,被人當(dāng)槍使了荞怒!你寫的這個(gè)文件可不是普通文件洒琢,你這要是寫進(jìn)去了,別人就能遠(yuǎn)程登錄進(jìn)來(lái)了褐桌,之前的挖礦病毒就是這么進(jìn)來(lái)的衰抑!”,sshd說(shuō)到荧嵌。
一聽這話呛踊,Redis嚇得趕緊掐斷了網(wǎng)絡(luò)連接砾淌。
“給你下命令的究竟是誰(shuí),又是怎么連接上你的谭网?”汪厨,部長(zhǎng)問(wèn)到。
Redis不好意思的低下了頭愉择,只說(shuō)道:“不瞞您說(shuō)劫乱,我這默認(rèn)就沒(méi)有密碼,誰(shuí)都可以連進(jìn)來(lái)”
安全部長(zhǎng)聽得眼睛都瞪圓了锥涕,憤而離去要拂。
只聽得一聲大叫,kill老哥又一次手起刀落站楚。
彩蛋
“部長(zhǎng)脱惰,不好了”
“什么事,慌慌張張的”
“我的數(shù)據(jù)全都被加密了窿春!”拉一,MySQL氣喘吁吁的說(shuō)到···
