CPU 被挖矿,Redis 竟是内鬼

于 2024-05-10 04:48:41 发布
阅读量960 收藏 24
点赞数 21
分类专栏: 程序员 文章标签: redis 数据库 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84814221/article/details/138642409
版权

虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。

图片

只见Redis刚打开文件,准备写入,不知何处突然冲出几个大汉将其擒住。

到底是怎么回事?Redis一脸懵。

这事还得要从一个月之前说起。

1、挖矿病毒

一个月前,突如其来的警报声打破了Linux帝国夜晚的宁静,CPU占用率突然飙升,却不知何人所为。在unhide的帮助下,总算揪出了隐藏的进程。本以为危机已经解除,岂料···

夜已深了,安全警报突然再一次响了起来。

“部长,rm那小子是假冒的,今天他骗了我们,挖矿病毒根本没删掉,又卷土重来了!”

安全部长望向远处的天空,CPU工厂门口的风扇又开始疯狂地转了起来···

无奈之下,部长只好再次召集大家。

unhide再一次拿出看家本领,把潜藏的几个进程给捉了出来。kill老哥拿着他们的pid,手起刀落,动作干脆利落。

这一次,没等找到真正的rm,部长亲自动手,清理了这几个程序文件。

“部长,总这么下去不是个办法,删了又来,得想个长久之计啊!”,一旁的top说到。

“一定要把背后的真凶给揪出来!”,ps说到。

“它们是怎么混进来的,也要调查清楚!”,netstat说到。

“对,对,就是”,众人皆附和。

部长起身说道,“大家说得没错,在诸位到来之前,我已经安排助理去核查了,相信很快会有线索。”

此时,防火墙上前说道:“为了防止走漏消息,建议先停掉所有的网络连接”

“也罢,这三更半夜的,对业务影响也不大,停了吧!”,安全部长说到。

不多时,助理行色匆匆地赶了回来,在部长耳边窃窃私语一番,听得安全部长瞬时脸色大变。

“sshd留一下,其他人可以先撤了”,部长说到。

大伙先后散去,只留下sshd,心里不觉忐忑了起来。

“等一下,kill也留一下”,部长补充道。

一听这话,sshd心跳的更加快了。

图片

助理关上了大门,安全部长轻声说到:“据刚刚得到的消息,有人非法远程登录了进来,这挖矿病毒极有可能就是被人远程上传了进来”

sshd一听这话大惊失色,慌忙问道:“难道登录密码泄露了?”

“应该不是,是使用的公私钥免密登录”,一旁的助理回答到。

“你看,在/root/.ssh/authorized_keys文件中,我们发现了一个新的登录公钥,这在之前是没有的”,随后,助理输出了这文件的内容:

[root@xuanyuan ~]# cat .ssh/authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABA······

“绝不是我干的”,sshd急忙撇清。

“远程登录,这不是你负责的业务吗?”,助理问到。

“确实是我负责,但我也只是按程序办事,他能用公私钥登录的前提是得先把公钥写入进来啊,所以到底是谁写进来的,这才是关键!”,sshd说到。

“说的没错,别紧张,想想看,有没有看到过谁动过这个文件?”,部长拍了下sshd的肩膀说到。

“这倒是没留意”

部长紧锁眉头,来回走了几步,说道:“那好,这公钥我们先清理了。回去以后盯紧这个文件,有人来访问立刻报给我”

“好的”,sshd随后离开,发现自己已经吓出了一身冷汗。

2、凶手浮现

时间一晃,一个月就过去了。

自从把authorized_keys文件中的公钥清理后,Linux帝国总算是太平了一阵子,挖矿病毒入侵事件也渐渐被人淡忘。

这天晚上夜已深,sshd打起了瞌睡。

图片

突然,“咣当”一声,sshd醒了过来,睁眼一看,竟发现有程序闯入了/root/.ssh目录!

这一下sshd睡意全无,等了一个多月,难道这家伙要现身了?

sshd不觉紧张了起来,到底会是谁呢?

此刻,sshd紧紧盯着authorized_keys文件,眼睛都不敢眨一下,生怕错过些什么。

果然,一个身影走了过来,径直走向这个文件,随后打开了它!

sshd不敢犹豫,赶紧给安全部长助理发去了消息。

那背影转过身来,这一下sshd看清了他的容貌,竟然是Redis!

收到消息的部长带人火速赶了过来,不等Redis写入数据,就上前按住了他。

“好家伙,没想到内鬼居然是你!”,sshd得意的说到。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84814221
关注
专栏目录
2023年再不会Redis,就要被淘汰了
学Java,找哪吒
03-06 2万+
Redis实战系列,打造精品专栏。
记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
ZL_1618的博客
12-27 1201
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)①1000+CTF历届题库(主流和经典的应该都有了)③项目源码(四五十个有趣且经典的练手项目及源码)⑦ 2023密码学/隐身术/PWN技术手册大全。⑤ 网络安全学习路线图(告别不入流的学习)⑥ CTF/渗透测试工具镜像文件大全。②CTF技术文档(最全中文版)
CPU挖矿Redis竟是内鬼
JavaMBa的博客
11-17 841
作者:轩辕之风 原文链接:https://www.cnblogs.com/xuanyuan/p/15564302.html 却说这一日,Redis正如往常一般工作,不久便收到了一条SAVE命令。 虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。 只见Redis刚打开文件,准备写入,不知何处突然冲出几个大汉将其擒住。 到底是怎么回事?Redis一脸懵。 这事还得要从一个月之前说起。 挖矿病毒 前情回顾:C..
记一次因为redis挖矿病毒导致的系统崩坏
l1106866255的博客
01-06 602
1.问题 收到阿里云邮件的提醒,6379端口被阻断 2.分析 在linux下使用top命令发现有一进程一直占用95以上的cpu,百度发现是redis挖矿病毒 3.解决 更具systemctl status + top对应的pid找到进程的文件位置一一删除,kill进程 ...
redis 挖矿木马清除
wasd986523的博客
06-03 777
redis 挖矿木马清除 https://www.360zhijia.com/anquan/447557.html https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
Redis未授权漏洞复现,利用其实现的挖矿蠕虫脚本分析
qq_53689523的博客
05-05 873
Redis未授权漏洞复现 挖矿蠕虫脚本分析 恶意代码分析实例
由于redis暴露外网未设置密码被挖矿问题处理
ZhengXinMing1998的博客
05-24 916
一、问题查找 接到腾讯云短信提醒,服务器可能被植入了挖矿程序。 1.于是top查看cpu占用,发现一个名为java8_8的程序会定时隔一段时间就占用系统特别高的cpu 2.检查系统中的定时任务 发现/etc/crontab文件中出现了可疑的定时任务,通过ip查找发现ip地址来自美国 3.检查系统启动项,发现启动项中确有java8_8-server,并且状态位enable的 二、问题处理 1.清除系统该进行的启动项:systemctl disable 服务名 2.查看进程的存储目录,rm -rf /
阿里云服务器养只大虫子:Redis漏洞挖矿造成CPU100%的解决办法
Sail__的专栏
01-17 3830
之前在9月份的时候,我的阿里云服务器出现过一次被挖矿的情况,也是cpu爆满,后来发现是因为mysql的漏洞。 当时抓着mysql一顿处理,新建用户,强密码,设权限,nologin,可算是正常了。 这几天又再次出现了被挖矿的情况,今天算是解决了,舒服,下面说下情况。 表现:服务器上的web应用一场的慢,ssh登陆进去top -c查看如下: COMMAN处的[UWcUml]占用cpu100...
解码Redis最易被忽视的CPU和内存占用高问题
sssspider的博客
09-26 5870
我们在使用Redis时,总会碰到一些redis-server端CPU及内存占用比较高的问题。下面以几个实际案例为例,来讨论一下在使用Redis时容易忽视的几种情形。 一、短连接导致CPU高 某用户反映QPS不高,从监控看CPU确实偏高。既然QPS不高,那么redis-server自身很可能在做某些清理工作或者用户在执行复杂度较高的命令,经排查无没有进行key过期删除操作,没有执行复杂度高的命令。 ...
线上 rediscpu 高升如何排查
weixin_44287584的博客
06-29 1478
线上 redis 偶尔会出现 CPU 飙升情况, 对我们的服务造成一系列负面后果,出现这种问题如何排查呢?
排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 872
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis 的安全漏洞植入
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1438
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1676
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时未使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
新手使用Redis时,被挖矿组织偷袭
weixin_55166254的博客
10-20 587
本文大概分析了,当你打开Redis访问权限后,系统是如何被一步步入侵的过程,并记录了一下当被入侵后的一些措施,另外我的知识简单的处理,可能病毒仍未清除干净,需要找更专业的文章进行排查
基于Spring MVC + Spring + MyBatis的【学生管理管理系统】
D1561691的博客
04-12 745
我还通过一些渠道整理了一些大厂真实面试主要有:蚂蚁金服、拼多多、阿里云、百度、唯品会、携程、丰巢科技、乐信、软通动力、OPPO、银盛支付、中国平安等初,中级,高级Java面试题集合,附带超详细答案,希望能帮助到大家。还有专门针对JVM、SPringBoot、SpringCloud、数据库、Linux、缓存、消息中间件、源码等相关面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
外网安装redis操作不规范导致服务器被挖矿,无奈之下重装
Irons_one的博客
01-03 912
云服务器安装jdk,tomcat,mysql,redis 推荐使用一个工具:MobaXterm,一个上传文件和远程连接操作一体的软件 1. 安装JDK 用MobaXterm工具将jdk压缩包上传至服务器的一个文件夹中 解压 tar -xvf jdk-8u251-linux-x64.tar.gz -C /usr/java 配置环境变量:查看当前jdk路径 vi /etc/profile 配置完成保存退出 重新编译配置文件 source /etc/profile javac命令查看jdk环境是否配
阿里云服务器被Redis弱密码漏洞挖矿
清风思雨的博客
08-11 418
重启了三次,没办法,最后是通过重装了系统才解决的,就短短的半个小时,就被渗透,这速度。总之损失了很多文件,配置,数据库也没有被及时备份,唉,之前被SSH远程攻击上万次都没被打,被redis的漏洞半个小时沦陷,长个记性,以后注意!我尝试了网上的极多的解决方案,但是都没用了,这些黑客的手段也是不断更新迭代。定时任务我也改了,删了,再到病毒文件清空了,但是都无所事事,进程杀不死,CPU长时间100%。...
EasyGBS服务因用户Redis感染挖矿病毒进程被kill,如何解决及预防?
EasyGBS的博客
01-20 379
挖矿病毒利用 Redis 的未授权访问漏洞进行攻击,通过Redis可以将其宿主机挟持进行挖矿。所以我们强烈建议用户 Redis 一定要设置密码(修改默认密码),改端口,提高网络安全意识。
CPU不是Redis的瓶颈
最新发布
08-16
关于“CPU不是Redis的瓶颈”这一说法,可以从以下几个方面来理解: 1. Redis主要工作在内存中,它的主要性能瓶颈通常是内存的读写速度和网络的I/O吞吐量,而不是CPU的处理能力。因为Redis对于每个操作的时间复杂度...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值