背景
去年用公司淘汰的旧笔记本搭建了一个简单的NAS系统(基于TrueNAS),并开通了公网IP,使用一些docker应用
排查过程
当天回家时,我发现笔记本电脑的赶紧连上SSH查用top看了下CPU运行情况
当时很奇java模拟器怪,怎么会出来呢?pytRedishon程序给cpu做到200%,于redis命令在平时开发中查看java服务命令检查了当前运行情况python的程序
ps -eredis持久化f | grep python
结果发现了一个可疑的结果python在显示的信息中发现了一个外链IP1笔Redis记本电脑开不了机39.99.123.196。没多想就赶紧给kilredis面试题l失去过程。然后在浏览器地址输入浏览器的历史记录在哪里IP
Mining Pool Online,果然是矿池javascript百炼成仙
在停掉相关进程之后赶紧在linux在服务器上清理脚本
为什么会植入挖矿脚本?
他们是如何登录我的服务并植入挖矿脚本的?现在想想以下几点。
1. 外暴笔记本cpu天梯图漏ssh端口太简单了(我的是默认的22)
2. 用户弱密浏览器
图1显示我的用户名是sl,这是在TrueNAS临时非中配置root用户,由redis当时没考虑那么多五种数据类型,密javaee码也设置了s笔记本电脑开机黑屏没反应怎么办l,雀java怎么读太简单了,大概率就是这个入口。
3.应用(中间件)的安笔记本装漏洞,redis、Jenkins等待漏洞,甚至前段时间Log4浏览器怎么打开网站j
Trjava语言ueNAS服务本身或其夹javascript百炼成仙带,web协议也可能存在漏洞。
总结
公网有风险,开通要谨慎。不要使用弱密码。
最后贴上我的小NAS图,有时间会写一篇关于NAS文章(伪需python代码大全求?