关于redis:CPU被挖矿Redis竟是内鬼

大家好 我是周杰伦

却说这一日，Redis 正如平常个别工作，不久便收到了一条 SAVE 命令。

虽说这 Redis 常被用来当做缓存，数据只存在于内存中，却也能通过 SAVE 命令将内存中的数据保留到磁盘文件中以便长久化存储。

只见 Redis 刚关上文件，筹备写入，不知何处忽然冲出几个大汉将其擒住。

到底是怎么回事？Redis 一脸懵。

这事还得要从一个月之前说起。

挖矿病毒

一个月前，从天而降的警报声突破了 Linux 帝国夜晚的平静，CPU 占用率忽然飙升，却不知何人所为。在 unhide 的帮忙下，总算揪出了暗藏的过程。本认为危机曾经解除，岂料···

夜已深了，平安警报忽然再一次响了起来。

“部长，rm 那小子是混充的，明天他骗了咱们，挖矿病毒基本没删掉，又卷土重来了！”

安全部长望向远处的天空，CPU 工厂门口的风扇又开始疯狂地转了起来···

无奈之下，部长只好再次招集大家。

unhide再一次拿出看家本领，把潜藏的几个过程给捉了进去。kill 老哥拿着他们的 pid，手起刀落，动作干脆利落。

这一次，没等找到真正的rm，部长亲自动手，清理了这几个程序文件。

“部长，总这么上来不是个方法，删了又来，得想个长久之计啊！”，一旁的 top 说到。

“肯定要把背地的真凶给揪出来！”，ps说到。

“它们是怎么混进来的，也要考察分明！”，netstat说到。

“对，对，就是”，众人皆附和。

部长起身说道，“大家说得没错，在诸位到来之前，我曾经安顿助理去核查了，置信很快会有线索。”

此时，防火墙上前说道：“为了避免走漏消息，倡议先停掉所有的网络连接”

“也罢，这三更半夜的，对业务影响也不大，停了吧！”，安全部长说到。

不多时，助理行色匆匆地赶了回来，在部长耳边窃窃私语一番，听得安全部长刹时脸色大变。

“sshd 留一下，其他人能够先撤了”，部长说到。

大伙先后散去，只留下 sshd，心里不觉忐忑了起来。

“等一下，kill 也留一下”，部长补充道。

一听这话，sshd 心跳的更放慢了。

助理关上了大门，安全部长轻声说到：“据刚刚失去的音讯，有人非法近程登录了进来，这挖矿病毒极有可能就是被人近程上传了进来”

sshd 一听这话大惊失色，慌忙问道：“难道登录明码泄露了？”

“应该不是，是应用的 公私钥免密登录”，一旁的助理答复到。

“你看，在 /root/.ssh/authorized_keys 文件中，咱们发现了一个新的登录公钥，这在之前是没有的”，随后，助理输入了这文件的内容：

[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······

“绝不是我干的”，sshd 急忙撇清。

“近程登录，这不是你负责的业务吗？”，助理问到。

“的确是我负责，但我也只是按程序办事，他能用公私钥登录的前提是得先把公钥写入进来啊，所以到底是谁写进来的，这才是要害！”，sshd 说到。

“说的没错，别缓和，想想看，有没有看到过谁动过这个文件？”，部长拍了下 sshd 的肩膀说到。

“这倒是没注意”

部长紧锁眉头，来回走了几步，说道：“那好，这公钥咱们先清理了。回去当前盯紧这个文件，有人来拜访立即报给我”

“好的”，sshd 随后来到，发现自己曾经吓出了一身冷汗。

凶手浮现

工夫一晃，一个月就过来了。

自从把 authorized_keys 文件中的公钥清理后，Linux 帝国总算是太平了一阵子，挖矿病毒入侵事件也慢慢被人淡忘。

这天早晨夜已深，sshd 打起了瞌睡。

忽然，“咣当”一声，sshd 醒了过去，睁眼一看，竟发现有程序闯入了 /root/.ssh 目录！

这一下 sshd 睡意全无，等了一个多月，难道这家伙要现身了？

sshd 不觉缓和了起来，到底会是谁呢？

此刻，sshd 紧紧盯着 authorized_keys 文件，眼睛都不敢眨一下，惟恐错过些什么。

果然，一个身影走了过去，径直走向这个文件，随后关上了它！

sshd 不敢犹豫，连忙给安全部长助理发去了音讯。

那背影转过身来，这一下 sshd 看清了他的模样，居然是Redis！

收到音讯的部长带人火速赶了过去，不等 Redis 写入数据，就上前按住了他。

“好家伙，没想到内鬼竟然是你！”，sshd 得意的说到。

Redis 看着众人，一脸冤屈，“你们这是干什么？我也没做什么好事啊”

“人赃并获，你还抵赖？说吧，你为什么要来写 authorized_keys 文件？”

“那是因为我要来执行数据长久化存储，把内存中的数据写到文件中保留”，Redis 答道。

“你长久化存储，为什么会写到 authorized_keys 文件外面来？”，sshd 持续质问。

“刚刚收到几条命令，设置了长久化存储的文件名就是这个，不信你看”，说罢，Redis 拿出了刚刚收到的几条命令：

CONFIG SET dir /root/.ssh
CONFIG SET dbfilename authorized_keys
SAVE

“第一条指定保留门路，第二条指定保留的文件名，第三条就是保留数据到文件了”，Redis 持续解释到。

安全部长认真看着几条命令，说道：“把你要写入的数据给我看看”

“这可有点多，你等一下”，说罢，Redis 拿出了所有的键值数据，散落一地。

众人在一大片数据中看花了眼。

“部长快看！”，sshd 忽然大叫。

顺着他手指的方向，一个醒目的公钥呈现在了大家背后。

ssh-rsa AAAAB3NzaC1yc2EAA···

“果然是你！”

Redis 还是一脸懵，还不知产生了什么。

“你这家伙，被人当枪使了！你写的这个文件可不是一般文件，你这要是写进去了，他人就能近程登录进来了，之前的挖矿病毒就是这么进来的！”，sshd 说到。

一听这话，Redis 吓得连忙掐断了网络连接。

“给你下命令的到底是谁，又是怎么连贯上你的？”，部长问到。

Redis 不好意思的低下了头，只说道：“不瞒您说，我这默认就没有明码，谁都能够连进来”

安全部长听得眼睛都瞪圆了，愤而离去。

只听得一声大叫，kill 老哥又一次手起刀落。

彩蛋

“部长，不好了”

“什么事，慌慌张张的”

“我的数据全都被加密了！”，MySQL 气喘吁吁的说到···