CPU被挖礦，Redis竟是內鬼！

2021 年 11 月 17 日
筆記

卻說這一日，Redis正如往常一般工作，不久便收到了一條SAVE命令。

雖說這Redis常被用來當做快取，數據只存在於記憶體中，卻也能通過SAVE命令將記憶體中的數據保存到磁碟文件中以便持久化存儲。

只見Redis剛打開文件，準備寫入，不知何處突然衝出幾個大漢將其擒住。

到底是怎麼回事？Redis一臉懵。

這事還得要從一個月之前說起。

挖礦病毒

前情回顧：CPU深夜狂飆，一幫大佬都傻眼了···

一個月前，突如其來的警報聲打破了Linux帝國夜晚的寧靜，CPU佔用率突然飆升，卻不知何人所為。在unhide的幫助下，總算揪出了隱藏的進程。本以為危機已經解除，豈料···

夜已深了，安全警報突然再一次響了起來。

「部長，rm那小子是假冒的，今天他騙了我們，挖礦病毒根本沒刪掉，又捲土重來了！」

安全部長望向遠處的天空，CPU工廠門口的風扇又開始瘋狂地轉了起來···

無奈之下，部長只好再次召集大家。

unhide再一次拿出看家本領，把潛藏的幾個進程給捉了出來。kill老哥拿著他們的pid，手起刀落，動作乾脆利落。

這一次，沒等找到真正的rm，部長親自動手，清理了這幾個程式文件。

「部長，總這麼下去不是個辦法，刪了又來，得想個長久之計啊！」，一旁的top說到。

「一定要把背後的真兇給揪出來！」，ps說到。

「它們是怎麼混進來的，也要調查清楚！」，netstat說到。

「對，對，就是」，眾人皆附和。

部長起身說道，「大家說得沒錯，在諸位到來之前，我已經安排助理去核查了，相信很快會有線索。」

此時，防火牆上前說道：「為了防止走漏消息，建議先停掉所有的網路連接」

「也罷，這三更半夜的，對業務影響也不大，停了吧！」，安全部長說到。

不多時，助理行色匆匆地趕了回來，在部長耳邊竊竊私語一番，聽得安全部長瞬時臉色大變。

「sshd留一下，其他人可以先撤了」，部長說到。

大夥先後散去，只留下sshd，心裡不覺忐忑了起來。

「等一下，kill也留一下」，部長補充道。

一聽這話，sshd心跳的更加快了。

助理關上了大門，安全部長輕聲說到：「據剛剛得到的消息，有人非法遠程登錄了進來，這挖礦病毒極有可能就是被人遠程上傳了進來」

sshd一聽這話大驚失色，慌忙問道：「難道登錄密碼泄露了？」

「應該不是，是使用的公私鑰免密登錄」，一旁的助理回答到。

「你看，在/root/.ssh/authorized_keys文件中，我們發現了一個新的登錄公鑰，這在之前是沒有的」，隨後，助理輸出了這文件的內容：

[root@xuanyuan ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······

「絕不是我乾的」，sshd急忙撇清。

「遠程登錄，這不是你負責的業務嗎？」，助理問到。

「確實是我負責，但我也只是按程式辦事，他能用公私鑰登錄的前提是得先把公鑰寫入進來啊，所以到底是誰寫進來的，這才是關鍵！」，sshd說到。

「說的沒錯，別緊張，想想看，有沒有看到過誰動過這個文件？」，部長拍了下sshd的肩膀說到。

「這倒是沒留意」

部長緊鎖眉頭，來回走了幾步，說道：「那好，這公鑰我們先清理了。回去以後盯緊這個文件，有人來訪問立刻報給我」

「好的」，sshd隨後離開，發現自己已經嚇出了一身冷汗。

兇手浮現

時間一晃，一個月就過去了。

自從把authorized_keys文件中的公鑰清理後，Linux帝國總算是太平了一陣子，挖礦病毒入侵事件也漸漸被人淡忘。

這天晚上夜已深，sshd打起了瞌睡。

突然，「咣當」一聲，sshd醒了過來，睜眼一看，竟發現有程式闖入了/root/.ssh目錄！

這一下sshd睡意全無，等了一個多月，難道這傢伙要現身了？

sshd不覺緊張了起來，到底會是誰呢？

此刻，sshd緊緊盯著authorized_keys文件，眼睛都不敢眨一下，生怕錯過些什麼。

果然，一個身影走了過來，徑直走向這個文件，隨後打開了它！

sshd不敢猶豫，趕緊給安全部長助理髮去了消息。

那背影轉過身來，這一下sshd看清了他的容貌，竟然是Redis！

收到消息的部長帶人火速趕了過來，不等Redis寫入數據，就上前按住了他。

「好傢夥，沒想到內鬼居然是你！」，sshd得意的說到。

Redis看著眾人，一臉委屈，「你們這是幹什麼？我也沒做什麼壞事啊」

「人贓並獲，你還抵賴？說吧，你為什麼要來寫authorized_keys文件？」

「那是因為我要來執行數據持久化存儲，把記憶體中的數據寫到文件中保存」，Redis答道。

「你持久化存儲，為什麼會寫到authorized_keys文件裡面來？」，sshd繼續質問。

「剛剛收到幾條命令，設置了持久化存儲的文件名就是這個，不信你看」，說罷，Redis拿出了剛剛收到的幾條命令：

CONFIG SET dir /root/.ssh
CONFIG SET dbfilename authorized_keys
SAVE

「第一條指定保存路徑，第二條指定保存的文件名，第三條就是保存數據到文件了」，Redis繼續解釋到。

安全部長仔細看著幾條命令，說道：「把你要寫入的數據給我看看」

「這可有點多，你等一下」，說罷，Redis拿出了所有的鍵值數據，散落一地。

眾人在一大片數據中看花了眼。

「部長快看！」，sshd突然大叫。

順著他手指的方向，一個醒目的公鑰出現在了大家面前。

ssh-rsa AAAAB3NzaC1yc2EAA···

「果然是你！」

Redis還是一臉懵，還不知發生了什麼。

「你這傢伙，被人當槍使了！你寫的這個文件可不是普通文件，你這要是寫進去了，別人就能遠程登錄進來了，之前的挖礦病毒就是這麼進來的！」，sshd說到。

一聽這話，Redis嚇得趕緊掐斷了網路連接。

「給你下命令的究竟是誰，又是怎麼連接上你的？」，部長問到。

Redis不好意思的低下了頭，只說道：「不瞞您說，我這默認就沒有密碼，誰都可以連進來」

安全部長聽得眼睛都瞪圓了，憤而離去。

只聽得一聲大叫，kill老哥又一次手起刀落。

彩蛋

「部長，不好了」

「什麼事，慌慌張張的」

「我的數據全都被加密了！」，MySQL氣喘吁吁的說到···