公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过

一次惨痛的教训：被pnscan病毒攻击的经过（公网中Linux系统下Redis使用注意事项）

• 0.案发情况
• • • • • pnscan病毒感染惨状：
        • >>提示<<
• 1.案发原因
• 2.排查过程
• • • 简单排查之后，发现啥都做不了。先百度到了如下文章：公网中Redis使用注意事项（Linux系统）
    • • • 现场展示
        • 排查解决
        • Redis使用安全建议
    • 1.痛点一：多个攻击的脚本导致CPU完全被占用
    • 2.痛点二：top、ps、crontab等多个脚本文件被串改
    • 3.痛点三：crontab 定时任务脚本被感染
• 3.总结：
• 4.附录：核心攻击脚本

0.案发情况

pnscan病毒感染惨状：

• 使用top & ps & netstat 等等命令，都无法正常使用

• CPU基本100%，时不时网络中断

• redis端口6379被大规则线程占用

• 通过lsof -i:6379 查看进程，发现进程id一直在变动

• rm -rf 攻击的脚本，显示没权限（加sudo也没用，彻底对这个病毒服气了！）

>>提示<<

最终因为被感染的文件实在太多，只能重装系统。尽管删除了核心的攻击脚本，但是我自己的很多脚本命令也被破坏了。

如果整个排查过程对你有帮助，请继续看，如果你想彻底解决掉，可以关闭此页面了(我也没找到彻底解决的方案！)

1.案发原因

起初redis