安全老手，你的服务器被挖了吗？

近期，虽然虚拟货币交易市场持续暴跌，但服务器被挖的情况并不少见。许多不法分子利用系统漏洞入侵服务器，将木马后门植入服务器系统进行挖矿。

前几天凌晨1点，客户打电话求助，报告服务器异常卡顿，收到云服务商邮件提醒，提示服务器资源负载过高，严重影响正常运行。为此云服务器能挖矿吗云服务器能挖矿吗，我赶紧ssh进系统，顶一下，发现某个进程的CPU资源消耗极高。流程名称不是我们的业务流程，很可能是被挖矿的。

找出原因

首先，检查黑客是否通过漏洞进入。通过青腾入侵检测产品的后门检测功能扫描后，发现后门检测报警信息中有“挖矿”信息。通过文件分析，确定这是系统后门文件。

后门检测发现挖矿告警信息

分析问题

立即终止进程，删除文件，但15分钟后进程又自动启动。从经验来看，这应该是系统定时任务的自动启动。立即通过青腾资产盘点产品，盘点查询所有定时任务，发现机器上有恶意挖矿脚本定时任务，任务前有redis标识。显然，这个任务不是管理员设置的，而是黑客通过redis应用编写的定时任务。由此基本可以断定，该黑客是通过redis系统存在的风险入侵的。

发现Redis应用识别的定时任务

解决问题

redis 有哪些风险？ 通过青腾风险发现产品，发现服务器上的redis应用密码为空。同时使用产品检测服务运行权限，发现redis以root权限运行，允许任意IP源访问。

Redis 应用程序存在弱密码和高权限风险

解决方案

找到根本原因后，解决问题就比较简单了。一、将redis密码增加为强密码；二、限制redis运行权限，限制应用只允许本地访问。最后，杀死进程并删除计划任务和进程启动文件。观察了几个小时，进程不再启动，网站访问速度恢复正常...