服务器被人从 redis 的漏洞注入了奇怪的东西

資深大佬 : powa2005 19

如题：有一台半闲置的服务器配了个 redis 服务。默认 6379 端口无密码可任意主机链接；

某天发现 redis 里存了几个莫名的 backup 的 key，value 是一个 sh 的 url 的 sh 脚本。

最终找到 http://xmr.ipzse.com:66/这个文件服务器，里面有端口扫描软件跟一些卸载阿里云，腾讯云防火墙的脚本。还有一些看不懂；

问题来了，

这些脚本在服务器运行后究竟在我服务器做了啥，对服务器有啥危害不，需要格式化整个服务器重启吗？

目前没发现服务器有什么异常的情况；

现在 redis 已经做了 requirepass 的设置，能防止此类情况再次发生吗？

大佬有話說 (8)

資深大佬 : ZRS

建议重装

資深大佬 : wakzz

建议重装，你永远不知道被黑过的系统里被装了什么脚本和后门。以及检查一下同一个域下的其他主机，可能也被顺藤摸瓜黑进去了。

資深大佬 : opengps

你不是做安全的大佬，一时半会发现不了全部影响，虽然你没什么重要业务，但这种情况还是重装比较省心
redis 是个内网服务，不适合暴露在公网
安全是个大问题，往往是几个弱点，组合起来就成了大灾难

資深大佬 : aulia

大概率被挂挖矿木马，看看 crontab 里面有没有定时任务

主資深大佬 : powa2005

@ZRS @wakzz @opengps 好的，谢谢建议；

主資深大佬 : powa2005

@aulia 看了没有定时任务

資深大佬 : wjhjd163

肯定得重装啊
redis 是重灾区，有无数方法达到挂马的效果
无进程马之类的根本看不出来

資深大佬 : janus77

对待安全，还是那句话，我说没问题你就不重装了吗？那出问题要不要我背锅啊。虽然这句话有点过，但是意思是那么个意思