而浮生若梦,为欢几何

人生这么短暂,不应该留点什么吗

【安全】Linux 系统 redis3.0.6被入侵挖矿,解决方案

被挖矿后,挖矿进程占用了 大量的cpu资源和网络资源。并且kill掉以后 会自动启动。

进程信息:/usr/bin/gpg-agentd

阿里云服务器也做出了相关方案:

您的云服务器()由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问,阻断预计将在2018-03-13 00:00:31时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。 
感谢您对阿里云的支持。

一·服务器信息

阿里的云服务器,操作系统 版本信息:Linux version 3.10.0-693.21.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16)

redis版本:redis-3.0.6

二·redis配置介绍

因为 服务器只开启了只允许局域网段访问 3306端口,所以没有对redis 进行密码配置。没想到这次是通过局域网内的攻击导致的被入侵挖矿。

三·入侵分析

简单做一下入侵分析,内网服务器被攻击,导致通局域网所有服务器被感染攻击。


上图是入侵后在redis里的一个key,会在操作系统创建定时任务。

查看定时任务命令:

查看定时任务 vim  /etc/crontab

列出所有的定时任务 crontab -l

四·解决方案

0·删除redis内生成 挖矿脚本的 sh文件的 key/value

1·阿里云安全组更改设置入网Ip 3306端口的配置

2·服务器防火墙限制Ip

3·删除操作系统相关定时任务,如果没有用到定时任务 可以关闭该功能

4·redis 增加 密码配置 config配置文件内增加 requirepass  密码 ,设置 bind ip

5·禁止挖矿Ip段 进出网络

附:挖矿脚本分析:http://www.atstudy.com/article/1096

看雪论坛详细分析:https://bbs.pediy.com/thread-225163.htm

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/b376924098/article/details/79607334
个人分类: 安全
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭