收到中毒邮件通知
收到通知后思前想后,也不知道问题在哪,第一次遇到这事……
分析
一查这是个挖矿软件,遂进入该目录
crontab 是定时任务,打开一看是:
curl 是下载命令,定时下载init.sh脚本,浏览器手动下载后,立马被火绒拦截。我把它救出来后打开脚本,正是下载病毒的:
查找原因
想了很久也没明白是为何,这是在 redis 什么临时目录下,遂又一番搜索:
醉了,,,这也可以?
不好意思,3 条全中……前段时间装了 Redis 并且默认端口,并且图方便密码是空,并且是用 root 启动的
后续解决
清除木马,设置 Redis 密码咯