记录一次服务器被pnscan病毒攻击的处理理财
起始
凌晨收到腾讯云的安全告警短信大概意思:我的服务器恶意对外攻击。
第一反应就是被挟持了,这个服务器只是用来测试学习用的,所以并不慌。
初步处理
刚开始想无非就是黑客通过开放端口攻击我的服务器然后攻击别人的服务器。
登录服务器查看
netstat -antp
tcp 0 1 10.0.20.9:46146 154.236.210.203:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:42522 154.236.211.7:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:51640 154.236.209.202:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:39260 154.236.210.228:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:51790 154.236.208.110:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:40884 154.236.208.180:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:41620 154.236.209.132:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:34002 154.236.208.78:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:48168 154.236.211.204:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:49848 154.236.211.41:6379 SYN_SENT 6494/pnscan
tcp 0 1 10.0.20.9:48114 154.236.209.181:6379 SYN_SENT 6494/pnscan
全部是攻击其他服务器Redis端口的连接,所以说大家Redis最好还是要设置密码的。
为啥会被攻击?突然想起来昨天测试为了方便防火墙开放了所有tcp端口。二话不说赶紧将所有端口禁用。
重启服务器,依然不好使。
排查
因为没有被pnscan攻击过,没有经验。一直以为是docker被攻击了。关闭docker,依然不好使。
通过PID定位进程,由于进程一直在变,很难定位到。
锁定目标
file /proc/$PID/exe
终于定位到了恶意程序的文件位置,pnscan网上一搜,哦豁竟然是个Redis木马。先删为敬吧。
问题解决
netstat -antp
tcp 0 15 10.0.20.9:37840 154.201.31.115:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:59182 154.201.19.168:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:36256 154.201.18.78:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:54160 154.201.18.110:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:49734 154.201.25.232:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:41130 154.201.31.22:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:51344 154.201.31.78:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:50258 154.201.25.212:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:50154 154.201.21.108:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:57212 154.201.17.42:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:38138 154.201.16.173:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:37086 154.201.31.11:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:42400 154.201.16.108:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:58452 154.201.20.6:6379 FIN_WAIT1 -
tcp 0 15 10.0.20.9:44898 154.201.19.70:6379 FIN_WAIT1 -
全部憋死了,大快人心
[root@VM-20-9-centos bin]# netstat -antp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 9454/sshd
tcp 0 28 10.0.20.9:22 119.123.176.171:64406 ESTABLISHED 10169/sshd: root@pt
tcp 0 0 10.0.20.9:56920 194.36.190.30:1414 TIME_WAIT -
tcp 0 0 10.0.20.9:56922 194.36.190.30:1414 ESTABLISHED 23497/[ddns]
tcp 0 0 10.0.20.9:59830 169.254.0.138:8086 ESTABLISHED 19948/tat_agent
[root@VM-20-9-centos bin]# netstat -antp
彻底解决
复盘
由于自己省事开放所有端口,最后没有及时关闭,导致黑客爆破成功。并植入木马攻击其他服务器。
所以在线上服务器还是要规范行事。不能给坏人可乘之机。