漏洞概述
近日，互聯網出現watchdogs挖礦病毒，攻擊者可以利用Redis未授權訪問漏洞入侵服務器，通過內外網掃描感染更多機器。被感染的主機出現 crontab 任務異常、系統文件被刪除、CPU 異常等情況，并且會自動感染更多機器，嚴重影響業務正常運行甚至導致崩潰。
在此，小哥建議您及時開展Redis業務自查并進行升級修復，避免業務和經濟損失。

漏洞影響
1、數據泄露。Redis被遠程控制，泄漏敏感業務數據
2、病毒感染。如果機器本身未加固，可通過Redis漏洞入侵主機資源，并進行系統破壞、文件刪除、利用主機資源挖礦等惡性操作

產生漏洞條件
1、Redis全網監聽，暴露于公網之上。自建Redis容易設置0.0.0.0:6379，在綁定EIP之后暴露在互聯網上
2、Redis無密碼或弱密碼進行認證，容易被破解
3、Redis服務以root或高權限賬戶運行，可通過該用戶修改 crontab 任務、執行挖礦操作，系統 netstat 等文件被篡改刪除，同時會進一步遍歷 known_hosts 中歷史登錄記錄進行感染更多機器

加固建議
1、推薦使用 華為云DCS Redis云服務 ，DCS默認已針對Redis進行加固，且有專業團隊維護，不受該漏洞影響，您可以放心使用！
2、禁止外網訪問 Redis，需要重啟Redis才能生效
3、Redis是否以無密碼或弱密碼進行驗證，請添加強密碼驗證，需要重啟Redis才能生效
4、Redis服務是否以root賬戶運行，請以低權限運行Redis服務，需要重啟Redis才能生效
5、設置安全組或防火墻，對源IP進行訪問權限控制
6、禁用config命令避免惡意操作，可使用rename特性把config重命名，增加攻擊者使用config指令的難度
7、把Redis默認的6379端口修改為其它端口，增加攻擊者獲取Redis入口的難度

清理木馬
若發現主機被入侵感染，請按照以下方法進行處置
1、隔離感染主機：已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡
2、清理未知計劃任務
3、刪除惡意動態鏈接庫 /usr/local/lib/libioset.so
4、排查清理 /etc/ld.so.preload 中是否加載3中的惡意動態鏈接庫
5、清理 crontab 異常項，刪除惡意任務(無法修改則先執行7-a)
6、終止挖礦進程
7、排查清理可能殘留的惡意文件
a) chattr -i /usr/sbin/watchdogs /etc/init.d/watchdogs /var/spool/cron/root /etc/cron.d/root
b) chkconfig watchdogs off
c) rm -f /usr/sbin/watchdogs /etc/init.d/watchdogs
8、相關系統命令可能被病毒刪除，可通過包管理器重新安裝或者其他機器拷貝恢復
9、由于文件只讀且相關命令被 hook，需要安裝 busybox 通過 busybox rm 命令刪除
10、重啟機器
?
注意
修復漏洞前請將資料備份，并進行充分測試。