Một quy trình khai thác tiền điện tử tiếp tục xuất hiện trên máy chủ

Gần đây tôi đã bắt đầu sử dụng máy chủ Ubuntu từ xa để phát triển và thử nghiệm máy. Tuy nhiên, nhà cung cấp dịch vụ lưu trữ đã báo cáo một quy trình khai thác tiền điện tử đang chạy và anh ta phải tắt máy chủ.

Không có nhật ký hoặc bất kỳ dữ liệu nào có thể xác định quy trình đó hoặc bất kỳ thứ gì có thể giúp tìm ra điều gì đã xảy ra. Sau đó, nó lại xảy ra, nhưng lần này họ đã ghi lại được điều này:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND  
246369 redis     20   0   13928  11444    908 S 746.7   0.2  62801:13 /tmp/kmv --pool pool.hashvault.pro:80 --username TRTLv2TW8sjC5LmSpiDdRZ2ndnEwPRpJ9Lgz3vgGY2CTSLkLeKAUFMefEeT6idQBxzSLsXfAvAqfhH5zkxMM3sHu2RL8xh1n5Pg --password x --algorithm chukwa_v2

Các cổng duy nhất được mở là cổng Redis, 6379.

admin@nicotine2:~$ Sudo ufw status
Trạng thái: Đang hoạt động

Đến hành động từ
-- ------ ----
22 CHO PHÉP mọi nơi
9200 TỪ CHỐI Ở Mọi Nơi
6379/tcp CHO PHÉP mọi nơi
22 (v6) CHO PHÉP Ở mọi nơi (v6)
9200 (v6) TỪ CHỐI mọi nơi (v6)
6379/tcp (v6) CHO PHÉP mọi nơi (v6)

Khi tôi kiểm tra, không có /tmp/kmv thư mục bất cứ nơi nào được tìm thấy. Điều này đã xảy ra lần thứ 2.

Bất kỳ manh mối, đề xuất hoặc đề xuất nào để tránh điều này?

Redis có lỗ hổng thực thi mã từ xa nếu bạn không bật xác thực.

Bài viết này có thêm thông tin về vấn đề chính xác của bạn.

https://www.trendmicro.com/en_gb/research/20/d/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html

Câu hỏi thực sự hay là: Bạn đã cài đặt cái gì?

Rất có thể bạn đã cài đặt một ứng dụng bị nhiễm hoặc dễ bị phần mềm khai thác tiền điện tử này tấn công. Điều này cũng có thể có trong Hình ảnh docker.

Vì vậy, hãy gỡ cài đặt mọi thứ (hoặc cài đặt lại một hình ảnh trống có thể còn tốt hơn) và theo dõi máy chủ của bạn trong khi cài đặt nội dung. Bạn sẽ thấy CPU tăng đột biến khi cài đặt phần mềm khai thác tiền điện tử bị nhiễm.

CHỈNH SỬA: Nếu bạn đã cài đặt phiên bản cũ hơn và dễ bị tấn công của Tìm kiếm đàn hồi (hoặc hình ảnh Docker không chính thức), câu trả lời khá rõ ràng: Cài đặt phiên bản vá bảo mật, chính thức và mới nhất.

CHỈNH SỬA 2: TheHermit có câu trả lời chính xác ở đây, vì quy trình redis lưu trữ hoạt động khai thác tiền điện tử.

Đối với một người cho phép SSH trên Cổng 22 từ bất kỳ đâu là một Rủi ro bảo mật, khuyên bạn nên giới hạn nó ở một IP được sử dụng cho Quản lý và thay đổi Cổng 22 mặc định thành một thứ gì đó trong phạm vi cao hơn. Ta cần xem thêm các process của Server, Redis nên cấu hình Auth.