公司用的linux服务器采用秘钥认证登陆,密码登陆直接禁止掉了。
早上上班,发现有2台ECS无法登陆了。
登陆阿里云ecs后台,发现认证秘钥文件被改了,发现内容是redis写入的keys值
文件更改时间为1点左右
将2个认证文件删除,重新写入公钥
重启ssh,就可以登陆了。
发现了一篇文章,redis未授权访问漏洞确实会导致authorized_keys文件被更改
http://help.aliyun.com/knowledge_detail/5988808.html?spm=5176.7114037.1996646101.3.NCgpQV&pos=2
查看redis配置,也发现没有绑定内网导致,没有做认证。
在外网,随便一个人,就可以登陆redis,进行攻击了。
解决办法就是修改redis配置文件
vim /usr/local/redis/conf/redis.conf
bind 10.xx.xx.xx
重启redis
pkill redis-server
redis-server /usr/local/redis/conf/redis.conf &
那么在阿里云内网,应该是比较安全的。