漏洞概述

近日，網際網路出現watchdogs挖礦病毒，攻擊者可以利用Redis未授權訪問漏洞入侵伺服器，通過內外網掃描感染更多機器。被感染的主機出現 crontab 任務異常、系統檔案被刪除、CPU 異常等情況，並且會自動感染更多機器，嚴重影響業務正常執行甚至導致崩潰。

在此，小哥建議您及時開展Redis業務自查並進行升級修復，避免業務和經濟損失。

漏洞影響

1、資料洩露。Redis被遠端控制，洩漏敏感業務資料

2、病毒感染。如果機器本身未加固，可通過Redis漏洞入侵主機資源，並進行系統破壞、檔案刪除、利用主機資源挖礦等惡性操作

產生漏洞條件

1、Redis全網監聽，暴露於公網之上。自建Redis容易設定0.0.0.0:6379，在繫結EIP之後暴露在網際網路上

2、Redis無密碼或弱密碼進行認證，容易被破解

3、Redis服務以root或高許可權賬戶執行，可通過該使用者修改 crontab 任務、執行挖礦操作，系統 netstat 等檔案被篡改刪除，同時會進一步遍歷 known_hosts 中歷史登入記錄進行感染更多機器

加固建議

1、推薦使用華為雲DCS Redis雲服務，DCS預設已針對Redis進行加固，且有專業團隊維護，不受該漏洞影響，您可以放心使用！

2、禁止外網訪問 Redis，需要重啟Redis才能生效

3、Redis是否以無密碼或弱密碼進行驗證，請新增強密碼驗證，需要重啟Redis才能生效

4、Redis服務是否以root賬戶執行，請以低許可權執行Redis服務，需要重啟Redis才能生效

5、設定安全組或防火牆，對源IP進行訪問許可權控制

6、禁用config命令避免惡意操作，可使用rename特性把config重新命名，增加攻擊者使用config指令的難度

7、把Redis預設的6379埠修改為其它埠，增加攻擊者獲取Redis入口的難度

清理木馬

若發現主機被入侵感染，請按照以下方法進行處置

1、隔離感染主機：已中毒計算機儘快隔離，關閉所有網路連線，禁用網絡卡

2、清理未知計劃任務

3、刪除惡意動態連結庫 /usr/local/lib/libioset.so

4、排查清理 /etc/ld.so.preload 中是否載入3中的惡意動態連結庫

5、清理 crontab 異常項，刪除惡意任務(無法修改則先執行7-a)

6、終止挖礦程序

7、排查清理可能殘留的惡意檔案

a)  chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root

b)  chkconfig watchdogs off

c)  rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs

8、相關係統命令可能被病毒刪除，可通過包管理器重新安裝或者其他機器拷貝恢復

9、由於檔案只讀且相關命令被 hook，需要安裝 busybox 通過 busybox rm 命令刪除

10、重啟機器

​

注意

修復漏洞前請將資料備份，並