还剩最后一个问题,这个 gpg-agentd 程序到底是干什么的呢?我当时的第一个反应就是矿机,因为现在数字货币太火了,加大了分布式矿机的需求,也就催生了这条灰色产业链。
于是,顺手把这个 gpg-agentd 拖到 Ida 中,用 String 搜索 bitcoin,eth,mine 等相关单词,最终发现了这个:
打开 nicehash.com 看一下,一切都清晰了:
安全建议
服务器:
- 禁用 ROOT
- 用户名和密码尽量复杂
- 修改 SSH 的默认 22 端口
- 安装 DenyHosts 防暴力破解软件
- 禁用密码登录,使用 RSA 公钥登录
Redis:
- 禁用公网 IP 监听,包括 0.0.0.0
- 使用密码限制访问 Redis
- 使用较低权限帐号运行 Redis
到此,整个入侵过程基本分析完了