redis6379端口被攻击.持久化的目录被修改到

以下是实际遇到的攻击：

Redis 6379 端口被攻击。持久化目录修改为/var/spool/cron。

在 github 上查找问题，

根据redis成员的描述和重组，最近的入侵事件基本可以确定是被入侵了。

很多刚开始接触安全的同学可能会好奇：黑客究竟是如何攻破目标的？

目标可能是网站、个人电脑或智能手机。

本文将与您简要讨论这个问题。

网络攻击其实是一种电子信息战。看不见也摸不着，但它确实发生了。

打仗前最重要的事情就是收集情报。所谓知己知彼，方能百战百胜。没有智慧就是愚蠢。

网络攻击也是如此，第一步是收集情报。

端口扫描

在发起网络攻击之前，黑客通常会执行端口扫描以检测目标上启用了哪些服务。

端口，在计算机网络协议中，是一个位于传输层的概念。当计算机上多个不同的进程在通信时，它们是通过端口号来区分的。

端口是一个 16 位整数，总共 65535 个端口。

端口扫描的原理是尝试依次向服务器的60000多个端口发送探测包，观察目标的响应。以TCP为例，如果发送一个TCP握手包，目标返回第二次握手信息SYN+ACK，则说明该端口有TCP服务。

但是，当前的防火墙可以检测到基本的端口扫描行为。如果发现同一IP地址在短时间内尝试连接大量端口，很快就会被拉入黑名单，导致端口扫描行为无法再进行。下去吧。

所以端口扫描也会改变IP，改变扫描频率，更难识别。

程序识别

扫描这些端口有什么用？用于进行下一步：程序识别。

如果发现了80端口，背后可能是一个web服务器。
如果发现了53端口，背后可能是一个DNS服务器。
如果发现了3389端口，背后可能是一个开放了远程桌面连接的Windows机器。
如果发现了3306端口，背后可能是一个MySQL服务器。
如果发现了6379端口，背后可能是一个Redis服务器。
如果发现了9200服务器，背后可能是一个ElasticSearch服务器。
。。。。
1234567

更进一步，它还可以识别程序的类型、版本等。

以80端口为例，通过继续发送HTTP数据包，从服务器的响应中，根据Server字段，也可以知道web服务器是nginx、Apache还是其他。

甚至通过一些服务，我们可以知道它背后是Windows还是Linux还是Android，如果是Linux，也可以知道内核版本信息。

端口扫描+程序识别的过程，这些操作已经很成熟了，你甚至不需要编程或者使用工具来检测它们。只需使用***Shodan或ZoomEye***并输入IP地址，帮助我们列出这个IP背后的信息，省力。

漏洞攻击

程序被识别，接下来的关键是：exploit。

著名的开源软件如nginx、tomcat、redis、mysql等，基本上每年都有很多漏洞暴露出来，很多网站的运维人员安全意识不是很强，不常去打补丁升级会导致这些对外提供服务的机器上残留很多漏洞。

黑客通常拥有漏洞库。他们清楚每个软件的漏洞。他们还针对每个漏洞开发了相应的攻击武器。

此时，黑客可以为发现的服务器编写漏洞利用程序进行远程攻击，使远程服务器可以执行自己的代码。

其中最广为人知的应该是网络安全，因为网络服务占互联网流量的很大一部分，而太多的企业通过网络提供服务，这导致黑客将注意力集中在这块上。

web服务器的后端一般是用C++、Java、PHP、Python等语言开发的程序。这些语言所承载的库和框架或多或少都有问题。通过将这些后端程序发送到一系列精心构造的请求，可以使后端服务瘫痪。

特权提升

当后端服务中的漏洞被成功攻破时，攻击者可以使目标服务器执行他们自己的代码。但一般来说，操作系统都有一些安全机制，比如web、mysql、redis、nginx等。它们还运行在一些低特权进程中。即使攻击者破坏了后端服务，它仍然处于这些低特权进程中。执行里面的代码，很多事情都做不了。所以这个时候什么代码是攻击力的，攻击者一般需要做一件事：提权。

然后什么代码是攻击力的，通过利用操作系统中的一些漏洞，攻击者可以让他们的攻击代码从低权限的进程中逃逸，获得高级权限，例如root权限执行。

开始工作

此时，您的服务器确实处于危险之中！攻击者为了能够经常登录你的服务器，还会留下一些后门，并添加一些新用户来经常查看。

如果是秘密软件，它会偷偷转移你的重要文件。

如果是破坏活动，它还可以篡改数据和入侵网站。

如果它是勒索软件，它也会加密你的文件。

如果是挖矿病毒，那么你的 CPU 和 GPU 会很硬。

还有一些具有高级攻击的木马，它们不会立即对您的计算机造成损害，而是潜伏，躲在角落里等待被唤醒。

安全防御

以上是黑客从收集信息到最终关闭服务器的整个过程。知道了敌人的路径，我们可以对症下药，做以下事情来防患于未然：

记得打开防火墙

打开和关闭不必要的端口

Web 服务服务器字段不显示有关软件的任何信息

软件立即打补丁

重要数据定期备份

使用监控软件监控服务器CPU和内存的变化，发现异常及时报警