记一次CentOS7因Redis配置不当导致被Root提权沦为矿机修复过程

攻击原理
由于服务器Redis服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户，攻击者可远程登录到Redis中，通过Redis内置的命令将自己的公钥写入到/root/.ssh/authorized_keys文件夹下，进而可以直接免密登录到服务器上，并在服务器中植入恶意脚本，实现利用服务器挖矿操作。

解决方案
1.首先使用top命令排查系统中占用率极高的进程

一般挖矿脚本在启动后，会极度消耗CPU资源，使用top命令查看服务器中启动的进程。(此处因已结束相关进程，未见异常。)

top

2.停止异常进程

kill -9 {进程号}
3.删除ssh下生成的异常公钥

3.1 查看异常公钥

3.2 去除文件隐藏属性

查看文件隐藏属性

lsattr {文件名}
去除隐藏属性(需要去除哪个属性就加上对应的参数)

chattr -iae 
————————————————
10.防范措施

新增普通用户，禁止远程登录，以此用户启动Redis服务。

修改redis.conf文件中的bind 127.0.0.1为为自己数据库要访问的地址

bind x.x.x.x
在redis.conf中新增requirepass字段

requirepass {复杂密码}
————————————————

原文链接：https://blog.csdn.net/mdzz14/article/details/111656726