一、事件排查

近来接到某个客户的应急，上机排查后确定是中了TeamTNT挖矿病毒，经过一番排查，最终查到最早的入侵点为某台云服务器。

毕竟吧，TeamTNT的常用的利用手法就是redis未授权、gitlab RCE、ssh弱密码。当我一顿看日志，测试redis，果不其然，未授权访问，毕竟云上机器吗，直接怼安全组，清一色6379放通，原因这不就来了。

但当我定睛一看，是挺多的放通的，还是绑定两个安全组，内容一看都是白名单，哦豁

当时脑子一激灵，不应该呀，这种自动化攻击的，没必要整那么复杂，肯定是安全组做了改动，直接就是打开云服务器的审计功能，问问客户是不是你改了安全组，客户当然是我没有，不是我。

当时想？难道又是无头悬案，这必不可能，等等，刚才的安全组，是不是范围有点大。好家伙，这8位掩码、24位掩码，凑，就是你了。

二、总结

对，没错，原因很简单，就是redis未授权，还把6379端口开放到公网（假的白名单），虽然中间redis没有记录日志，有也不记录IP，还是需要从多个方面佐证是这个原因，但这里就不写了。总的来说，细节细节，当时一堆安全组的配置属实看花了眼，总体来说就是不用把问题复杂化，然后就是真细呀