authorized_keys中的奇怪公钥

Question

我出于安全考虑，将Linux VPS用作Web服务器（haproxy + nginx + java + mysql + memcached + redis + solr），我禁用了密码登录并改为使用密钥。

这些天，我无法登录到服务器，使用VPS控制台登录时，我在/root/.ssh/authroized_keys中发现了一些奇怪的公钥，并且删除了我自己的公钥：

"REDIS0006t^@^@^CqweA<92>
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDNTotEB55uRlAS9sKUfT3WyJzq1kGQVVGQk9WPDmjg
c6fvkubd3qRAE1lBQmZ+LjnHSSOcP54EoBTphiL+Lf2pFKkbFNYVGIdJBhRWUIDlm/vIGO4GCLfpPnRz
rw3UsVLUykb68fFJXrPOfGC5Qj16nlrVY6gMO2p1pAmmBqkwPpyxbBkXkBFme3k95wl6Q6MWJLUXAEeT
GuqzMukZHkA15hXxas5AKYRKAwrls9UrUqBXCy7Gp5lnq8m/RI0L8mNseB1hD1Fi/KQqVgwXXmXhjWDQ
qtzqF7Eh2woNhqojSpd9QlOO/LxPMKzgF9cStBcbkaQ5gXoO+zFYL2B/nRp1 root@vultr.guest
^@à^AA<8d>-e
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAND7d7omg6ByhAlAbtb3++0P4clJ4cLCSSAH7CXuM
Y9ENqGVYmdoJSkXJt7uk5HX4ioFkDesuR/Yi6tBx0hKq/AXhfhOX4rS0ESXo83z2dlbo52/bdkEMxwgY
hym+MYcK3jxmnQ+Fy1649otJeidENNhracOPdSekvyIebJTIfcT/4JD46z1anir9M3UD5oa53wBlkyew
VXAWus33SNHrGvns9jCTD0jefclWCNh6MeFITxMIDMErF5Fvz8fPyDuI7AUGt22lYb8I2lhkfQUPruZz
EEdMGaZ/YjhteIao8Ap7Avf55vXHwa7HVbBlwKL7+J7nmpq1X0+RFX6OlktJ yyf
-e
^@^GcrackitABbfilenarmeed iasu-tchloir.iezxeed _-khe y6s0.164.96.208^M
^M
saveconfig set dir /root/.ss^M"

这意味着什么？ 有黑客尝试登录我的服务器吗？

Answer 1

正如Redis开发人员在此处所述，Redis在设计上是不安全的。

但是，使用CONFIG命令控制服务器配置的能力使客户端能够更改程序的工作目录和转储文件的名称。 这使客户端可以在随机路径上写入RDB Redis文件，这是一个安全问题，很容易导致能够与运行Redis的用户一样运行不受信任的代码。

该页面还包含有关如何重写ssh密钥并获得对系统的完全访问权限的详细说明（其结果类似于OP的内容）。 该解决方案取决于使用模型，并且可能包括防火墙，启用AUTH并绑定到127.0.0.1。

Answer 2

看来您的服务器是通过Redis守护进程远程破坏的（即使它不是应该以root身份运行，但它还是作为root运行的，但这是默认的设置，如果您自己编译，就像远程监听一样：基本上，如果在一个非防火墙的盒子，除非您主动更改默认值，否则希望它能被拥有。）

由于攻击者显然已经扎根，因此您不能确定自己没有rootkit或其他问题，也不能确定您不会再次受到感染（以后可能会造成更大的灾难性后果）。

这显然是非微妙的攻击。 :)由于攻击者并不关心您是否知道他的存在，因此请期待Rootkit，LKM等。

可以肯定的是，并且您自己可以放心：确保备份所有数据文件，计算您的祝福，并经历整个灾难恢复过程； 安全擦除服务器并从备份中还原。