Redis wurde mit Crackit infiziert, aber ich habe die dauerhafte Speicherfunktion deaktiviert. Wie kann ich feststellen, ob mein Server gehackt wurde?

Aufgrund meiner Nachlässigkeit habe ich vergessen, das Passwort für das Redis festzulegen, das ich vor zwei Monaten installiert habe, und es auch an die öffentliche IP zu binden. Also habe ich heute Redis geöffnet und gesehen, dass das Crackit-Feld eingefügt wurde und der Wert ssh war -rsa. Aber es scheint, dass mein Root-Passwort in diesem Zeitraum nicht geändert wurde. Bedeutet das, dass er den Schlüssel nur eingegeben, ihn aber nicht erfolgreich ersetzt hat?

Ich habe diese drei Zeilen direkt nach der Installation von Redis kommentiert. Theoretisch sollte die persistente Speicherfunktion deaktiviert werden. Kann er meinen Server mit dieser Methode erfolgreich hacken?

Ich stelle diese Frage nur, um zu bestätigen, ob mein Server erfolgreich von ihm gehackt wurde? Da sich auf meinem Server wichtige Daten befinden, vielen Dank an alle!

Antwortinhalt:

Aufgrund meiner Nachlässigkeit habe ich vergessen, das Passwort für das Redis festzulegen, das ich vor zwei Monaten installiert habe, und es auch an die öffentliche IP zu binden. Also habe ich heute Redis geöffnet und gesehen, dass das Crackit-Feld eingefügt wurde und der Wert ssh war -rsa. Aber es scheint, dass mein Root-Passwort in diesem Zeitraum nicht geändert wurde. Bedeutet das, dass er den Schlüssel nur eingegeben, ihn aber nicht erfolgreich ersetzt hat?

Ich habe diese drei Zeilen direkt nach der Installation von Redis kommentiert. Theoretisch sollte die persistente Speicherfunktion deaktiviert werden. Kann er meinen Server mit dieser Methode erfolgreich hacken?

Ich stelle diese Frage nur, um zu bestätigen, ob mein Server erfolgreich von ihm gehackt wurde? Da sich auf meinem Server wichtige Daten befinden, vielen Dank an alle!

Hiermit wird die Persistenz ausgeschaltet.
Überprüfen Sie, ob in den autorisierten_Schlüsseln unter /root/.ssh Anomalien vorliegen.
Diese Schwachstelle kann Dateien nur über Redis schreiben, hauptsächlich durch Schreiben von ssh-rsa und anschließendes Anmelden über ssh.
Wenn es sich um ein ausgeführtes Lua-Skript handelt Durch Redis ist dies unmöglich.
Wenn es gehackt wird, bleiben möglicherweise andere Hintertüren zurück, und dann werden die Aufzeichnungen dieser Zeit gelöscht. Auf diese Weise wissen Sie nicht, dass Sie gehackt wurden.