Redis 入侵排查解决

最新推荐文章于 2022-10-26 17:36:31 发布
最新推荐文章于 2022-10-26 17:36:31 发布
阅读量374 收藏
点赞数
分类专栏: Redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aszjbgd/article/details/112966487
版权

起因:

获取到的信息是,服务器在不停的攻击其他IP 的6379端口。

解决:

通过netstat -nap 找到了不断攻击的程序时panscan

之后find 查询然后将程序删除后重启就好了。

最好还是把Redis bind到本地或者局域网比较好。

经过:

由于网上经常说通过top就可以发现占用CPU资源高的大多数就是问题所在。

但实际上,我的top命令并没有发现pnscan进程

ps也不能找到pnscan进程

我猜想,可能是套了别的壳子。现在我也没法去浮现,以后那个蜜罐试试。

问题:

1.出现问题的地方是netstat 多数的tcp连接

2.top -H 有许多的线程,但是显示的CPU和内存占用都不高。

3.通过netstat -nap |grep  port 无返回内容

 

飞来的贼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis对外攻击处理排查思路
weixin_45931409的博客
05-20 516
解决带宽占用高(被入侵导致redis对外攻击) 上机前: 查询服务器是否遭受ddos,是否有违规, cpu,内存监控丢失 带宽监控未丢失但是异常跑高 现场环境: ssh不可连接,无法登录 服务器上服务崩溃 login 报错密码不正确 解决步骤: 1.因为这个密码报错不正确,后台重置密码后登录到服务器(这个不具体解释怎么操作的) 2.本身使用外部的监控就看到了这个带宽异常的占用,本身是1mbps,但是拉到了5mbps。top查看没有相关的cpu占用但是ni100%。 3.定位下载..
Linux挖矿病毒排查(通过redis入侵服务器原理)
weixin_57543652的博客
01-11 1097
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
关于2022年10月12日发现服务器Redis被攻击报告
weixin_44547333的博客
10-13 460
记录一次自己的服务器redis被攻击,以及排查过程和解决
血的教训---入侵redis并远程控制你的机器场景复现
guijianchouxyz的博客
10-26 6718
不怕服务安装部署,就怕上任运维瞎部署防不胜防,全是泪,全是血
redis 漏洞利用与防御
whatday的专栏
11-05 813
前言 ​ Redis在大公司被大量应用,通过笔者的研究发现,目前在互联网上已经出现Redis未经授权病毒似自动攻击,攻击成功后会对内网进行扫描、控制、感染以及用来进行挖矿、勒索等恶意行为,早期网上曾经分析过一篇文章“通过redis感染linux版本勒索病毒的服务器”(http://www.sohu.com/a/143409075_765820),如果公司使用了Redis,那么应当给予重视,通过实...
Redis性能问题排查解决手册.rar
09-16
Redis性能问题排查解决手册.rar
redis高并发解决方案
09-19
redis高并发解决方案
redis缓存穿透解决方法
09-09
在本篇文章里小编给大家分享了关于redis缓存穿透的解决方法以及相关实例内容,需要的朋友们学习下。
总结redis实战解决方案
07-06
redis实战问题:双写一致性(数据库与redis)、缓存雪崩、缓存穿透、缓存并发竞争、redis策略配置等
redis入侵.md
11-17
redis入侵.md
一文讲透如何排查Redis性能问题
码农笔记
02-28 386
Redis 作为优秀的内存数据库,其拥有非常高的性能,单个实例的 OPS 能够达到 10W 左右。但也正因此如此,当我们在使用 Redis 时,如果发现操作延迟变大的情况,就会与我们的预期不符。 你也许或多或少地,也遇到过以下这些场景: 在 Redis 上执行同样的命令,为什么有时响应很快,有时却很慢? 为什么 Redis 执行 SET、DEL 命令耗时也很久? 为什么我的 Redis 突然慢了一波,之后又恢复正常了? 为什么我的 Redis 稳定运行了很久,突然从某个
记录一次redis入侵事件(无重大影响)
大锅霍皮久的博客
04-08 7652
早上看到阿里云报警,提示”Linux系统计划任务配置文件写入行为“,虽然这个reids集群做在内网,可能因为做了本地端口转发,所以导致了入侵事件。1.现象于是上服务器,crontab -l 看到有一个定时任务写在计划任务中2.分析将这个脚本下载下来进行分析,wget https://transfer.sh/Yfso3/tmp.YmboB7ymVN脚本内容如下sleep 1 find . -maxd...
云服务器搭建redis后,出现攻击外部ip行为
weixin_42246822的博客
03-06 1445
云服务器搭建redis后,出现攻击外部ip行为 根据异常特征初步判断主机疑似因redis未授权访问漏洞被入侵,由于主机入侵较为严重,系统已不可信任,为防止黑客在主机内留有其他后门,建议备份业务数据,择机重装系统,并对redis进行安全加固。
一次Redis未授权访问漏洞入侵分析
java060515的专栏
11-26 1739
0x00 简介 通过之前部署的蜜罐系统,我近日在滴滴云上捕获到了一个通过 Redis 未授权访问漏洞进行入侵的蠕虫样本,该样本的特点是使用 Python 脚本进行横向漏洞扫描,并且具有进程隐藏和卸载某些云上安全产品的功能。 0x01 样本分析 通过蜜罐日志得到攻击者入侵开始于通过 Redis 写 crontab: 命令中的 URL https://pastebin.com/raw/1NtRkBc...
记一次Redis入侵(被黑)处理过程
nelson的博客
05-22 3049
通常作为一名后端程序员,并没有系统的学习过关于服务器安防相关的知识,遇到服务器被黑的情况往往比较迷茫,不知道从何下手。服务器可能遭受的攻击多种多样,以下主要讲述的是我本次遇到的一次服务器被黑客拿来当矿机的处理过程。 攻击的发现 之所以发现服务器被攻击了是因为有用户反馈系统卡顿非常严重,我知道一般用户反馈描述的那个时间点不应该会有这么高的延迟的,所以就登录服务器查看以下CPU等资源的消耗情况。(挖矿...
记一次Redis数据库漏洞被入侵现象
java、c++、机器学习方向King
03-21 6449
服务器状态:为了便于研发,把公司购买的云服务器上的一台内网服务器,主要目的是,把开放服务器上的Redis数据库服务,便于相关研发人员调用使用。出现的现象问题:CPU基本满负荷(估计是被当做肉鸡),出现SSH登录不上服务器的情况。挂了电话后我就登上了阿里云账号,看了一下自己Mem和CPU的使用状况,Mem倒没撒,CPU确实一直是一条直线,一直是百分之百。后来我就看了ps -aux看了进程cpu和内存...
记一次Redis故障的排查
qq_24516549的博客
11-29 4812
背景: 最近在公司dev服务器上搭建的redis总会出现异常,需要重启才能正常工作,严重影响开发效率,试图排查解决该问题 步骤: 查看redis配置文件: 查看/etc/redis.conf文件 loglevel notice logfile /var/log/redis/redis.log 查看日志文件: 查看 /var/log/redis/redis.log文件 发现重启前一直出现错误报告 ...
一次排查服务器挖矿病毒
架构师的成长之路的博客
09-23 2686
步骤一 top 查看cpu 发现挖矿病毒占用cpu。于是找到挖矿病毒的程序位置删除后,再kill掉进程。查看top cpu显示正常。搞定。 哈哈哈 步骤二 一会接到通知 服务器cpu过高,于是登录服务器top 查看发现一切正常,见鬼了。度娘 、google 。找到病毒源头 reids 弱密码漏洞 ssh 。于是: 1、修改redis 密码。 并删除掉里面的redis 中的病毒key 2、删除病毒文件 /root/.ssh/root 下的 3、删除定时文件(别被文件名骗了,病毒会伪装).
linux redis病毒,Linux系统之Redis扩散病毒继续分析
weixin_35459464的博客
05-14 256
* soft nproc 100000root hard nproc 100000root soft nproc 100000EOF#防火墙修改redis只让本机访问iptables -I INPUT 1 -p tcp --dport 6379-j DROPiptables -I INPUT 1 -p tcp --...
redis 阻塞客户端排查
最新发布
01-24
Redis阻塞客户端排查的步骤如下: 1. 使用Redis提供的命令`CLIENT LIST`获取当前连接的客户端列表。该命令会返回一个包含所有客户端信息的列表。 2. 查看每个客户端的状态,特别关注`last_cmd`字段,该字段显示了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值