iptables開放6379端口且redis沒設置密碼致使服務器被植入挖礦病毒修改步驟

前言:

redis開放遠程訪問須要注意,若是不設置密碼或者密碼設置的簡單容易被黑客利用redis的漏洞植入病毒程序

解決步驟:

第一步使用top命令查詢當前cpu使用狀況,查詢出可疑的進程

從圖中能夠知道sysupdate和networkservice這兩個進程佔用了大量cpu,並且也知道了他們的進程號分別是9987和10014

第二步:查看病毒進程所在的位置

ls -l proc/9987/exe

第三步:刪除定時任務

crontab -r

第四步:kill掉病毒進程

kill -9 9987
kill -9 10014

第五步:從硬盤上刪除這些垃圾病毒

通常病毒文件都使用了 chattr +i 命令將文件設置爲不得任意更動,因此咱們先 -i

# 先修改這些病毒文件的屬性
chattr -i /etc/networkservice /etc/sysguard /etc/update.sh /etc/config.json
# 再強制刪除
rm -rf /etc/networkservice /etc/sysguard /etc/update.sh /etc/config.json

第6步:修復SELinux

修改/etc/selinux/config文件,將#SELINUXTYPE=targeted註釋掉,而後打開SELINUX=disabled

vi /etc/selinux/config

使更改生效,執行setenforce 0

setenforce 0

第7步:修復iptables

編輯文件:/etc/sysconfig/iptables,若是找不到這個文件就從新安裝一次yum install iptables-services

把6379端口關閉掉

vim /etc/sysconfig/iptables

重啓防火牆

systemctl restart iptables.service

第8步:重啓redis,ngnix若是以前有安裝的話,重啓以後系統便可恢復正常

# 重啓redis服務
/usr/local/redis/redis-server /usr/local/redis/redis.conf

# 重啓nginx
/usr/local/nginx/sbin/nginx