记一次centos7因redis默认端口被恶意植入病毒解决

已于 2022-08-26 16:40:02 修改
阅读量1.3k 收藏
点赞数 1
文章标签: 服务器 运维 centos 安全
于 2022-08-26 16:38:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SQLINGBING/article/details/126545401
版权
本文记录了一次由于未配置Redis,导致CentOS7服务器被病毒利用默认端口植入大量文件的过程。通过查找并删除病毒文件、定位并结束恶意进程、禁用自启动脚本,成功清除病毒并提醒读者注意Redis的安全配置。
摘要由CSDN通过智能技术生成

centos7中的redis因为使用默认端口被植入病毒的解决

起因是今天远程进入centos7的图形根目录特别慢,一看finalshell已经读取了几万个文件,就觉得不对头,linux的文件系统根目录除了那几个文件夹以外不是自己添加的不可能有文件的,结果使用ls -a一看几万个 .r.*格式的文件就知道中病毒了请添加图片描述

解决过程。。。。

我先是使用

find / -name “.r.*” | xargs rm -rfv

删除了根目录的这些文件,但是发现一刷新有新的文件生成,肯定被插入进程脚本了,之前因为慢我已经重启了一次了,所以我肯定开机自启的文件里面肯定有这个脚本添加的自启文件,于是我先使用代码

systemctl list-unit-files

查看有没有异常的自启动

之前看到的知乎大佬的centos7病毒分析的帖子链接: 挖矿病毒分析(centos7)
发现了一个叫[scan]的自启文件和这个大佬帖子里的一个病毒一模一样,然后对比一下我之前备份的centos7服务器的文件发现这个是新加入的不知道干嘛的程序
进入到它的目录/usr/share中找到了它最后使用

ps -ef

找到了它的进程,当时确定了它不是系统进程,关掉不会影响系统所以找到了它的进程,使用

最低0.47元/天 解锁文章
SQLINGBING
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
一次愚蠢的Redis配置导致Linux服务器被恶意攻击
u012708900的博客
12-23 798
起因 之前Linux服务器上面一直启的Redis单机,并设置了密码。也没出现过问题。对安全这方面也不太敏感。 前天重新搭建了Redis集群(一主两从三哨兵),都只是做了最简单的配置,期初master配置中是有密码的,但是在配置slave时,没有添加masterauth配置项(因为无知,- -!),导致主从复制一直失败,索性就把master中的requirepass给注释掉了。再次重启主从复制成功了,哨兵的配置也成功启动,发现模拟故障转移也莫得问题,就认为万事大吉了。 经过 然而昨天中午的时候,收到了阿里云的
Redis服务入侵
一枚小白的分享,不喜勿喷~
08-22 857
百度百科:Redis(Remote Dictionary Server),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis因配置不当可导致攻击者直接获取到服务器的权限。利用条件:redis以root身份运行,未授权访问,弱口令或者口令泄露等。
linux服务器Centos7中病毒
on the way . . .
03-23 2744
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 818
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis 的安全漏洞植入
centos 系统服务器被黑客攻击怎么办?
求是
03-05 1592
1.先把sshd登录这块给他搞定 #!/bin/bash rm -rf /home/shell/ip_list cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list #cat /var/log/secure | grep...
CentOS6.5与CentOS7 ssh修改默认端口号的方法
09-15
总的来说,修改SSH的默认端口号可以增加系统的安全性,减少被恶意攻击的风险。但同时,这也意味着每次需要通过SSH连接服务器时,都需要输入新的端口号。因此,在配置完成后,得更新所有依赖于旧端口号的自动化脚本...
Linux Centos7系统端口占用问题的解决方法
09-15
在Linux CentOS7系统中,有时会遇到端口占用的问题,这可能会导致服务无法启动或通信异常。本篇文章将详细介绍如何解决此类问题,以8080端口为例进行阐述。 首先,我们需要确认哪个进程占用了特定端口。在本案例中...
centos7部署redis脚本
12-16
centos7部署redis脚本///centos7部署redis脚本///centos7部署redis脚本///centos7部署redis脚本///centos7部署redis脚本///centos7部署redis脚本///centos7部署redis脚本///centos7部署redis脚本
录一次CentOS7因断电导致宕机的修复过程.pdf
08-28
本文档录了一次 CentOS 7 服务器因断电导致宕机的修复过程。该服务器的修复过程中遇到了许多问题,包括 fstab 文件的缺失、分区表的损坏、root 分区的损坏等问题。通过对这些问题的解决,最终成功地修复了服务器。...
centos7 安装RedisRedis解决session共享
01-19
centos7 安装RedisRedis解决session共享,可根据文档进行安装和使用,本人调试过,没问题
Centos7 安装redis
Soul space of Jamon_Wang
02-13 509
安装 gcc 编译 首先看一下是否有安装gcc gcc -v 因为后面安装redis的时候需要编译,所以事先得先安装gcc编译。阿里云主机已经默认安装了 gcc,如果是自己安装的虚拟机,那么需要先安装一下 gcc: yum install gcc-c++ 下载 redis 有两种方式下载安装包,一种是去官网上下载(https://redis.io),然后将安装包考到 centos 中,另种方法是直接使用 wget 来下载: wget http://download.redis.io/rel
Centos上由于redis漏洞被攻击
半僧
12-06 1752
早上一直收到腾讯云报警,查看了下: 有个yam程序,占用大量CPU!!! 真他娘的纳闷,我服务器跑了什么我还不清楚?于是乎开始查哪来的? 于是我去百度了下 jyam -c x -M stratum+tcp 果不其然确实有这样的攻击,网上说这个攻击是由于redis未授权登陆漏洞引 起导致黑客利用的结果我去redis 控制台登录一看固然有个莫名其妙的key 刚好这个key 就是ssh的
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1336
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
Centos7中病毒[tsm][kswapd0] 被黑造成cpu过高,杀死自有排查
qq_25831105的博客
01-04 686
Centos7中病毒排查[tsm][kswapd0] tsm被黑录–录 less /var/log/secure|grep ‘Accepted’ 查询登陆情况,一般会有异常ip登陆,而且会安装公钥在你机器上,后续会一直通过公钥登陆你的机器,你修改密码都没用,得清理 ~/.ssh/authorized_keys 2.pwdx *** (通过top查到命令进程,然后通过该命令查询源文件路径,然后删除他) 3.查看crontab -e 里面还有关联文件,会自启动,一并删除,并删除定时计划任务,然后
Centos7中病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 448
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
如何反黑客后门程序
LLand520的博客
10-06 2377
前言   那什么,额不是最近国庆吗?因为疫情的缘故,我们都在家中,但发生了这么一件事,看到标题你应该知道是什么了,我被黑了!!!咳咳咳,不能说是被黑了,只能说是我下载了一个后门软件,对后门软件,比如说灰鸽子,流光这种,那边的黑客远程控制了我,我知道,这是最基础的软件了。但是我还是中了,最后,我的账号,密码都被盗取。很难受对吧,所以我写个这个文章。 如何防护这种后门,木马?   很容易,不去下载就好了。哎,你这不是废话吗?咳咳,最好的方法,360。360?你在说什么?360不是毒瘤吗?360云大脑知道吗?虽然
centos出现病毒问题 解决思路
ADCadc123456789的博客
07-17 1002
利用top 查看cpu 占用情况于异常情况 现在常见病毒 (挖矿) 此时cpu 占用率载99% 左右 找到对应pid 方式一: lsof -p pid进程号 查看可以文件 进行病毒排查 方式而 ps aux| grep COMMAND编号 删除 找到得文件 查看 定时任务 crontab -l 列出定时任务 crontab -e 删除异常定时任务 vim /etc/crontab cd /etc/cron.d 次目录下有两个文件 vim 0hourly vim sysstat.
crypto和pnscan云挖矿病毒导致CPU100%
最新发布
Jarvan的博客
08-13 343
经过这次安全事件,我应该去学点基础的安全防护技巧,比如,不能用root用户操作Linux系统,不能用账户和密码登录账户,禁用它,然后用ssh密钥登录。比如使用相关的安全工具去防护它。
linux centos7 解决挖矿病毒kthreaddk 高CPU占用
m0_66127371的博客
09-30 1758
病毒修复
rediscentos7安装配置.docx
05-18
"rediscentos7安装配置.docx" Redis是一种高性能的键值数据库,常用于数据缓存、消息队列等场景。在CentOS 7操作系统中安装配置Redis涉及以下步骤: 1. **更新系统** 在安装任何软件之前,确保系统是最新的,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值