记一次Redis被入侵,生成red2.so文件的问题

最新推荐文章于 2023-06-02 20:56:05 发布
最新推荐文章于 2023-06-02 20:56:05 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: 记录 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38494341/article/details/106534900
版权

晚上收到一条短信,之前给人家服务器部署的时候,redis我直接暴露了,结果就被入侵了,后来网上查到阿里云在今年的一月份发现了这个危险,是有一个h2Miner团伙来入侵服务器,留下red2.so文件,还有kinsing蠕虫。
最后参考阿里云的文字,排查red2.so文件和kinsing文件和进程,在我服务器里就找到red2.so文件和kinsingQQUKL1HbtE文件,就他删了。也把redis的配置改回不允许远程关闭了redis的端口。

具体可以参考阿里云的文章

Csea_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
威胁快报|Redis RCE导致h2Miner蠕虫新一轮爆发,建议用户及时排查以防事态升级
阿里云技术
01-06 3117
概述 近日,阿里云安全团队监测到h2Miner挖矿僵尸网络蠕虫的一波突然爆发,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。 在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis...
Linux redis.so 32位动态库
08-16
已经编译完成的32位Linux下的redis动态库
Redis-x64-5.0.14.1.zip
06-12
一个存储型数据库,用来进行大型程序开发的数据存储,下载好文件压缩包,解压好之后,先点击redis-server.exe文件,再点击redis-cli.exe文件即可启动。
redisjson2.0.8编译后的librejson.so文件
07-08
1.redisjson2.0.8编译后的librejson.so文件 2.Rust编译 3.可以直接下载配置 4.版本为2.0.8比较新 5.redis版本要在6以上
redis-6.2.5 配置文件redis.conf
09-20
redis官方docker镜像时没有redis.conf文件的,如果想设置redis以daemon方式启动,需要将这个配置文件挂载进容器中,以这个配置文件启动。
生成so文件几个错误
red_ear的博客
12-26 364
2019-12-26 17:17:57.722 31818-31818/com.example.loadso E/AndroidRuntime: FATAL EXCEPTION: main Process: com.example.loadso, PID: 31818 java.lang.UnsatisfiedLinkError: dalvik.system.PathClassL...
H2Miner变种,利用Redis漏洞入侵云服务器wa矿
热门推荐
China Honker 博客
01-12 114万+
H2Miner变种木马入侵后会下载挖矿木马,通过安装定时任务持久化,通过SSH复用连接进行横向移动感染。该程序由GO语言开发,通过还原后的函数名进行对比,可知其是H2Miner此前的kinsing文件变种,并且与http[:]//45.10.88.124/kinsing下载得到的文件一致。Redis 4.x/5.x 版本存在主从同步命令执行漏洞(CNVD-2019-21763),攻击者通过构造特定的请求实现漏洞利用,成功利用漏洞可在目标服务器上实现Getshell,该漏洞风险较高,且漏洞利用方式已被公开。
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 768
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4064
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人所得
feng_ling_97的博客
12-13 5284
录下云服务器kinsing,kdevtmpfsi,kthreaddk等病毒的处理与个人心得至于怎么发现kdevtmpfsi和kthreaddk此处就不赘述了(不知道的也找不到这里来),此文说下怎么排查处理及后续防护。(懒得截图,主要讲思路)一. kdevtmpfsi获取病毒相关信息及守护进程(图就不截了,按照思路走。此处假设kdevtmpfsi的进程id为15365,kinsing的进程id为15240)由于我的服务器,不同中间件和应用,都是分配的不同用户启动的,很容易就知道病毒从哪来的,所以直接把对应中
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
张火火博客
05-31 1700
挖矿病毒kdevtmpfsi,kinsing进程隐藏解决
Redis Desktop Manager 2020.2.0 Windows
08-10
redis免费的可视化桌面管理工具, Redis Desktop Manager 2020.1.0版本 下载, 安装时会提示需要安装VC++环境, 一定要装, 否则启动时会提示xxx.dll找不到, 该工具为Windows版本, 是一款非常实用的轻量级Redis桌面管理...
Redis-x64-3.0.504安装包
最新发布
10-11
Redis-x64-3.0.504安装包
腾讯云提示有木马文件事件通知 该如何处理?
网站安全专家
07-04 7586
客户的网站于近日收到了来自腾讯云的安全告警,木马文件事件通知!第一时间客户联系到我们SINE安全,把腾讯云提示的问题反馈给了我们安全技术部门,说是网站突然收到了腾讯云的邮件提醒,说什么网站有木马,服务器也存后门文件。客户以前从没有对网站,以及服务器进行安全部署与加固,导致今天发生这样的严重黑客入侵事件。随即我们与客户进行网站服务器的对接工作,服务器的IP,以及SSH端口,root账号密码,包括网站...
一次服务器被植入木马/病毒:kdevtmpfsi
Ying的博客
07-26 1627
服务器告警 今天(2020-07-26)中午12:50左右,手机微信收到了腾讯云的安全告警通知,说是服务器检测到木马文件,于是登陆腾讯云看了下 尝试处理 百度了一下kdevtmpfsi,发现是一个挖矿病毒,而且受害者还不少,通常会占用高额的CPU、内存资源,但是我奇怪的是,我查了服务器监控,仅仅是受到攻击的几分钟内CPU使用率有大概10%的上涨而已,并没有网上博文说的那么严重 然后也去查了下系统进程 ps -aux | grep kdevtmpfsi ps -aux | grep kinsing 说明
kinsing挖矿僵尸网络初始化脚本-注释版
makaisghr的专栏
06-01 1392
#!/bin/sh #Linux ulimit命令用于控制shell程序的资源。连接数设置为最大 ulimit -n 65535 #删除系统日志 rm -rf /var/log/syslog #关闭 /tmp /var/tmp 目录不可更改属性 chattr -iua /tmp/ chattr -iua /var/tmp/ #关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具 ufw disable #清空iptables iptables
处理处理kdevtmpfsi挖矿病毒以及他的守护进程kinsing
Owen_goodman的博客
12-27 8289
服务器CPU资源占用一直处于100%的状态,检查发现是kdevtmpfsi占用导致的,此进程为挖矿程序。 处理步骤如下: kdevtmpfsi 进程处理: 1、# top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 2、# netstat -natp 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外i...
Redis 2.8配置文件参数中文详解
weixin_34406061的博客
02-03 318
#daemonize no 默认情况下, redis 不是在后台运行的,如果需要在后台运行,把该项的值更改为 yes daemonize yes # 当 redis 在后台运行的时候, Redis 默认会把 pid 文件放在 /var/run/redis.pid ,你可#daemonize no 默认情况下, redis 不是在后台运行的,如果需要在后台运行,把该项的值更改...
SpringBoot2.2.X用Freemarker出现404
Csea的博客
12-13 6196
今天看到SpringBoot除了2.2.1版本,就跑了一下发现访问地址就是404,代码跟之前是一样的,只是我把以前的(2.1.8)版本升级了而已。 后来发现SpringBoot已经把原先默认的后缀名.ftl改成了.ftlh,如果想继续保持以前的.ftl就在配置文件中配置一下就好了。 spring: freemarker: suffix: .ftl 遇到问题,做个录。 ...
redisredis-server.exe redis.windows.conf
07-28
引用\[1\]和\[2\]提到了在安装目录下运行控制台,输入redis-server redis.windows.conf来加载redis.windows.conf的配置文件。而引用\[3\]中也提到了通过命令行CMD加载配置文件(redis.windows.conf)来启动redis。因此...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值