如何有效防御Redis遭受挖矿病毒攻击及避免穿透风险？

服务器挖矿了,怎么办?

紧急处理措施隔离受感染服务器立即断开服务器网络连接（物理隔离或关闭网卡），防止挖矿程序继续传播或泄露数据。若服务器在云环境，通过控制台强制停止实例，避免通过管理接口远程操作。

服务器上站点源码扫描，看看是否被植入木马；必要时需要重做系统。2）、服务器安全加固建议 如果装了Redis，请记住只允许它本机访问，不允许外网访问！！严格控制服务器各端口的访问权限；禁止root用户直接登录，通过普通用户su切换登录。以上就是我的经验之谈，以前也遇到过被挖矿的情况。

若服务器已被挖矿，云服务器建议做异地数据备份，快速恢复减少损失。物理服务器应先将业务转移到其他服务器，再进行排查清理，使用GScan、rkhunter、FastIR等工具辅助清理。作为技术运维人员，了解服务器弱点并有针对性地防御，能取得事半功倍的效果。若不清楚弱点所在，可以寻求专业渗透团队的帮助。

当服务器被挖矿时，可以采取以下措施来应对：立即隔离与备份 隔离被感染的服务器：为防止挖矿行为进一步扩散，应立即将被感染的服务器从网络中隔离出来。 数据备份：如果是云服务器，建议进行异地数据备份，确保数据的安全，并准备快速恢复服务以减少损失。

当服务器CPU占用率异常爆满，疑似遭遇挖矿攻击时，可以按照以下步骤进行排查：常规处理 检查用户信息：使用cat /etc/passwd和lastlog命令了解最近的登录活动，检查是否有异常用户或未知登录行为。 查看登录记录：使用lastb命令查看登录失败记录，last命令检查用户最近登录情况，以发现可能的非法入侵尝试。

修复系统：对受损的系统进行修复，恢复其正常运行状态。这可能包括恢复备份数据、修复受损文件等。加强安全防护措施：在修复系统后，应进一步加强安全防护措施，如安装可靠的安全软件、定期更新系统补丁、加强员工安全意识培训等，以提高系统的整体安全性。

Redis未授权访问漏洞(一)先导篇

Redis未授权访问漏洞先导篇答案如下：Redis默认配置暴露问题 默认绑定公网地址：Redis在未做安全配置时，默认会绑定在0.0.0.0：6379，这意味着如果没有添加防火墙规则，Redis服务将暴露于公网。 未设置密码验证的风险：若Redis未设置密码验证，任何能访问目标服务器的用户都可以进行未授权访问，读取Redis数据。

攻击者在未授权访问Redis后，通过使用config命令，能进行写文件操作。攻击者可以将自己的ssh公钥写入目标服务器的/root/.ssh文件夹的authorized_keys文件中，从而使用对应私钥直接登录服务器、添加计划任务、写入Webshell等。

靶机ip为19163176上存在redis未授权访问漏洞，所以可以直接进行无密码连接。Redis的服务已经启动了，端口在6379上。先用第一台攻击机连接靶机Redis-cli –h 19163176 往19163176靶机的/var/spool里写入命令，然后保存名字为root的文件。

漏洞成因：当Redis服务未设置密码，并且允许远程连接时，攻击者可以无需认证即可连接到Redis服务，从而产生未授权访问漏洞。漏洞复现：攻击者需在本地安装Redis，然后尝试无密码登录目标Redis服务。若成功连接，即可进行恶意操作。

记一次挖矿病毒的溯源

1、脚本分析 挖矿病毒逻辑：抽取其中一个sh脚本进行分析，发现脚本的逻辑是从kill掉其他挖矿同行进程开始，然后写入定时任务，判断目标系统位数，从指定URL下载病毒程序，并执行挖矿操作。病毒文件：最终下载的病毒文件被放置在服务器上，并持续进行挖矿操作。

2、取证情况 溯源排查过程 **查看服务器进程运行状态**：系统运行情况检查发现名为kdevtmpfsi的挖矿进程占用CPU。 **查看端口及外联情况**：确认存在陌生外联行为。 **查看计划任务**：在定时任务中发现请求外部地址的恶意指令。

3、内网病毒类型多、数量多火绒企业版一个月内对该企业27台终端拦截1821次恶意病毒攻击，病毒类型包括感染型、宏病毒、勒索病毒、流氓广告、蠕虫、挖矿等数十种。其中，感染型、宏病毒等常见病毒会感染可执行程序和Office文档，火绒可拦截查杀且不会损坏文件。

4、挖矿进程身份确认：如此高的CPU使用率让人想到挖矿病毒，通过netstat -anp命令查看该进程建立了外部网络连接，指向国外某地IP地址（19296）。进一步在威胁情报平台查询，平台给出威胁警告，可推定是挖矿进程。

服务器被挖矿怎么办

1、紧急处理措施隔离受感染服务器立即断开服务器网络连接（物理隔离或关闭网卡），防止挖矿程序继续传播或泄露数据。若服务器在云环境，通过控制台强制停止实例，避免通过管理接口远程操作。

2、为了降低服务器被挖矿木马入侵的风险，应从事前预防方面入手：定期备份数据：定期备份服务器上的重要数据，以防止数据丢失或被篡改。加强访问控制：限制对服务器的访问权限，确保只有授权用户才能访问和操作服务器。

3、服务器上站点源码扫描，看看是否被植入木马；必要时需要重做系统。2）、服务器安全加固建议 如果装了Redis，请记住只允许它本机访问，不允许外网访问！！严格控制服务器各端口的访问权限；禁止root用户直接登录，通过普通用户su切换登录。以上就是我的经验之谈，以前也遇到过被挖矿的情况。

4、若服务器已被挖矿，云服务器建议做异地数据备份，快速恢复减少损失。物理服务器应先将业务转移到其他服务器，再进行排查清理，使用GScan、rkhunter、FastIR等工具辅助清理。作为技术运维人员，了解服务器弱点并有针对性地防御，能取得事半功倍的效果。若不清楚弱点所在，可以寻求专业渗透团队的帮助。

记一次挖矿病毒应急处置全过程

取证情况 溯源排查过程 **查看服务器进程运行状态**：系统运行情况检查发现名为kdevtmpfsi的挖矿进程占用CPU。 **查看端口及外联情况**：确认存在陌生外联行为。 **查看计划任务**：在定时任务中发现请求外部地址的恶意指令。

活动时间：病毒主要在夜间进行挖矿活动，白天可能处于休眠状态。网络连接：通过lsof -i命令可以观察到病毒进程与国外地址存在TCP连接，进行数据交换。进程特性：病毒会替换系统的crontab、ps、top等关键进程，并修改$PATH环境变量，使得系统命令无法正确执行。

通过进一步调查，我发现黑客入侵后修改了qbittorrent的运行外部程序设置，添加了一个恶意脚本。该脚本从黑客的服务器下载病毒文件保存为/temp/.SyGIcPtf，并赋予执行权限。运行后，病毒会删除执行文件，只存在于内存中，所有输出结果均重定向到/dev/null，以隐藏痕迹。

记录一次NAS被xmrig挖矿病毒入侵的经历如下：事情起因：使用手机BT下载管理软件时不够谨慎，可能引入了病毒。CPU占用异常：6月7日，在例行检查PVE后台时，发现OMV的CPU使用率满载，而qbittorrent后台无活跃任务，察觉到不寻常。病毒发现：登录OMV后台，发现名为xmrig的进程独占CPU，通过搜索确认其为挖矿病毒。

在确认挖矿病毒感染后，进行病毒清除。病毒清除步骤如下：断开网络连接，防止病毒扩散；进入安全模式，防止病毒干扰；使用杀毒软件进行全盘扫描和杀毒；手动删除病毒文件和异常进程；修复系统漏洞，防止病毒再次入侵。在病毒清除过程中，需要注意保护重要数据和文件，避免数据丢失或损坏。

我们可以看到有sysupdate、networkservice、sysguard三个文件，这三个文件都是二进制文件，这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件，这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢，其实是通过定时程序里面的cron找出来的。

redis设置密码后还能被劫持吗

1、redis设置密码后就不易被劫持了。开启远程访问，一定要设置密码，否则服务器会被挖矿程序劫持，当然如果密码设置的相对于简单的话，也会出现被劫持的现象，但是几率比较小。redis监听的是所有IP，如果您的redis没有设置密码，别人可以直接连接您的redis进行攻击利用您的服务器去攻击别人。

2、综上所述，网址被渗透劫持是一个严重的安全问题，需要立即采取行动进行解决。通过隔离受感染系统、查找与修复漏洞、加强安全防护、恢复与验证以及持续监控与更新等措施，可以有效地解决这一问题并提升网站的安全性。

3、实施限速机制，限制登录尝试次数原理：暴力破解依赖自动化工具快速尝试大量密码组合，限速机制通过限制单位时间内的登录尝试次数（如每分钟5次），直接阻断高频攻击。实现方式：记录失败尝试：使用缓存（如Redis）或内存数据库（如代码示例中的defaultdict）记录用户登录失败的时间戳。

4、连接配置：如果你选择使用Redis作为会话存储，那么你需要确保Redis服务器是可访问的，并且已经正确配置了连接信息（如主机名、端口号、密码等）。这些信息通常可以在application.properties或application.yml配置文件中进行配置。序列化与反序列化：Redis存储的是序列化后的会话数据。