被pnscan挖矿病毒攻击解决方法

于 2024-08-08 12:00:23 发布
阅读量170 收藏 2
点赞数 4
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63126439/article/details/141023372
版权

今天想要连接redis却怎么都连不上

lsof -i :6379

却发现有很多的进程

不断的用kill -9 删除进程但是会不断的有新的出来

然后在网上查找发现是这个pnscan挖病毒,然后就开始找解决方法,最开始看见的说是因为文件被破坏的太多了,所以有的就重装系统了,然后我查了查我的文件好像么怎么被破坏,然后就开始想要去删掉这个

解决办法

cd /usr/local/bin

ll 查看里面的文件,就会发现多了个pnscan

这个文件就直接rm -r pnscan就可以

这个解决之后,还有一个被植入的免密登录

cd /root/.ssh去这个文件夹然后ll查看

然后就会发现多了一个这个东西,想要直接删还删不掉

 lsattr authorized_keys查看文件属性

需要做的就是解除这个属性,然后再删除

chattr -ia authorized_keys 解除

chmod 400 authorized_keys保存

rm -rf authorized_keys删除

然后lsof -i 6379

就发现都没有啦!

总结

Redis一定设置复杂点的密码,太危险了

重生之苦练代码养女友
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过
weixin_54626591的博客
08-24 649
公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过
排查腾讯云服务器被挖矿病毒pnscan】挟持
fanxindong0620的博客
09-27 6509
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
推荐开源项目:pnscan - 并行网络扫描工具
最新发布
gitblog_00035的博客
06-20 401
推荐开源项目:pnscan - 并行网络扫描工具 pnscanPeter's Parallel Network Scanner项目地址:https://gitcode.com/gh_mirrors/pn/pnscan 项目介绍 pnscan是一个专用于IPv4 TCP网络服务调查的工具。它由Peter Eriksson开发并维护,能够帮助你检测如SSH、FTP、SMTP、Web和IDENT等服务...
pnscan 挖矿蠕虫病毒处理记(二)
SRE运维 网络 系统 安全
10-19 1150
在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续: 机器安装了阿里云的动态感知,扫描到挖矿程序。 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运行逻辑,发现有检测机制,文件会自动下载,像这种,强烈建议做一个域名本地解释(hosts)。 #!/bin/bash setenforce 0 2>/dev/null ulimit -u 50000 sleep 1 iptables -I INPUT 1 -p tcp --dport 63.
阿里云linux服务器的一次糟糕体验-pnscan病毒
qq_37372909的博客
06-20 477
阿里云新买的linux,被安装兄弟安装后,不到一周中了pnscan挖坑病毒
记一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 4609
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
腾讯云服务器被黑客挂pnscan病毒排查
范大的博客
10-19 1480
腾讯云服务被黑客挂载病毒,CPU负荷过高且top无法查看
记一次被挖矿病毒pnscan攻击服务器的过程
王一把的博客
07-21 949
服务器之前运行的很好,突然内存使用无故暴涨,且top命令无法看出哪里在消耗,病毒隐藏的很深啊。 这个样子: 直接导致我无法部署正常的服务。 然后去服务监测面板看情况: 在11.30分左右,这个读写率突然加大 排查服务器发现/usr/local/bin下有个文件 11:29分时候被植入这个文件,这就是病毒文件pnscan,用来挖矿病毒。 再看root/.ssh下莫名其妙的多了2个key 这个key就是黑客攻击植入电脑的免登陆的鉴权key,直接ssh免密登录。牛批啊。 ...
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1419
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
一次惨痛的教训:被pnscan病毒攻击的经过
热门推荐
Alien-Hu
01-14 1万+
文章目录0.案发情况1.案发原因2.排查过程1.痛点一:多个攻击的脚本导致CPU完全被占用2.痛点二:top、ps、crontab等多个脚本文件被串改3.痛点三:crontab 定时任务脚本被感染3.总结:4.附录:核心攻击脚本 0.案发情况 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379被大规则线程占用 通过lsof -i:6379 查看进程,发现进程id一直在变动 rm -r
记录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 816
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
阿里云服务器被pnscan挖矿病毒入侵如何解决
m0_64344919的博客
01-26 1257
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
小白被挖矿木马整emo的一天
wangluoanquan111的博客
12-30 820
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。看到了熟悉的6379 ,确认从redis入侵无疑了,想起我的redis只是测试使用,所以没有设置密码。2375 ,好熟悉的端口,这不是我前天为了远程连接docker部署项目打开的吗。可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接。当我删完,我以为就应该没事了,结果cpu还是占用很高。一时间我悟了,原来病毒不止一个。
记录阿里云被挖矿病毒pnscan盯上的一次
dfdsfdsfwsedf的博客
12-19 988
首先第一步,挖矿病毒一定会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修改。不知道为啥,今天部署了一个后端程序,突然黑客大佬就强行塞进了一大堆病毒,其中最熟悉的还是我们的老顾客,pnscan,臭名昭著的挖矿病毒。然后使用新的chattr文件修改被锁住的chattr。然后给新的chattr赋权限,并复制过去替代锁住的。然后查看修改后的属性,只要没有-i -a就行了。# 查看公钥文件的权限属性。
攻击脚本
yaoxiaofeng_000的专栏
05-02 985
#!/bin/bash ps -ef | grep crypto-pool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep nanopool | grep -v grep | awk '{print $2}' | xargs kill -9 ps -ef | grep supportxmr | grep -v grep...
排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 871
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis 的安全漏洞植入
定位pnscan木马全过程
JesonXiao1221的博客
06-02 788
现象:服务器出现宕机的情况 1. 查看阿里云服务器监控信息 发现外网输出流量明显有两处异常,而且异常诊断结果也显示网络会话连接数和流量都出现了异常。 2. 进入服务器查看服务运行日志 查看nacos容器运行日志 docker logs --since=“2021-03-21” --tail=“1000” -t 29fbda27392d 出现了数据库连接异常,进一步证实了网络连接资源耗尽: org.springframework.jdbc.CannotGetJdbcConnectionException:
Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
懒得一批的打工人博客
08-17 915
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值