authorized_keys中的奇怪公鑰

Question

我出於安全考慮，將Linux VPS用作Web服務器（haproxy + nginx + java + mysql + memcached + redis + solr），我禁用了密碼登錄並改為使用密鑰。

這些天，我無法登錄到服務器，使用VPS控制台登錄時，我在/root/.ssh/authroized_keys中發現了一些奇怪的公鑰，並且刪除了我自己的公鑰：

"REDIS0006t^@^@^CqweA<92>
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDNTotEB55uRlAS9sKUfT3WyJzq1kGQVVGQk9WPDmjg
c6fvkubd3qRAE1lBQmZ+LjnHSSOcP54EoBTphiL+Lf2pFKkbFNYVGIdJBhRWUIDlm/vIGO4GCLfpPnRz
rw3UsVLUykb68fFJXrPOfGC5Qj16nlrVY6gMO2p1pAmmBqkwPpyxbBkXkBFme3k95wl6Q6MWJLUXAEeT
GuqzMukZHkA15hXxas5AKYRKAwrls9UrUqBXCy7Gp5lnq8m/RI0L8mNseB1hD1Fi/KQqVgwXXmXhjWDQ
qtzqF7Eh2woNhqojSpd9QlOO/LxPMKzgF9cStBcbkaQ5gXoO+zFYL2B/nRp1 root@vultr.guest
^@à^AA<8d>-e
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAND7d7omg6ByhAlAbtb3++0P4clJ4cLCSSAH7CXuM
Y9ENqGVYmdoJSkXJt7uk5HX4ioFkDesuR/Yi6tBx0hKq/AXhfhOX4rS0ESXo83z2dlbo52/bdkEMxwgY
hym+MYcK3jxmnQ+Fy1649otJeidENNhracOPdSekvyIebJTIfcT/4JD46z1anir9M3UD5oa53wBlkyew
VXAWus33SNHrGvns9jCTD0jefclWCNh6MeFITxMIDMErF5Fvz8fPyDuI7AUGt22lYb8I2lhkfQUPruZz
EEdMGaZ/YjhteIao8Ap7Avf55vXHwa7HVbBlwKL7+J7nmpq1X0+RFX6OlktJ yyf
-e
^@^GcrackitABbfilenarmeed iasu-tchloir.iezxeed _-khe y6s0.164.96.208^M
^M
saveconfig set dir /root/.ss^M"

這意味着什么？ 有黑客嘗試登錄我的服務器嗎？

Answer 1

正如Redis開發人員在此處所述，Redis在設計上是不安全的。

但是，使用CONFIG命令控制服務器配置的能力使客戶端能夠更改程序的工作目錄和轉儲文件的名稱。 這使客戶端可以在隨機路徑上寫入RDB Redis文件，這是一個安全問題，很容易導致能夠與運行Redis的用戶一樣運行不受信任的代碼。

該頁面還包含有關如何重寫ssh密鑰並獲得對系統的完全訪問權限的詳細說明（其結果類似於OP的內容）。 該解決方案取決於使用模型，並且可能包括防火牆，啟用AUTH並綁定到127.0.0.1。

Answer 2

看來您的服務器是通過Redis守護進程遠程破壞的（即使它不是應該以root身份運行，但它還是作為root運行的，但這是默認的設置，如果您自己編譯，就像遠程監聽一樣：基本上，如果在一個非防火牆的盒子，除非您主動更改默認值，否則希望它能被擁有。）

由於攻擊者顯然已經扎根，因此您不能確定自己沒有rootkit或其他問題，也不能確定您不會再次受到感染（以后可能會造成更大的災難性后果）。

這顯然是非微妙的攻擊。 :)由於攻擊者並不關心您是否知道他的存在，因此請期待Rootkit，LKM等。

可以肯定的是，並且您自己可以放心：確保備份所有數據文件，計算您的祝福，並經歷整個災難恢復過程； 安全擦除服務器並從備份中還原。