记一次redis病毒清理

已于 2022-12-01 09:29:04 修改
阅读量354 收藏 2
点赞数
文章标签: linux 运维 服务器 redis 安全
于 2022-05-05 12:32:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45874220/article/details/124584521
版权

redis中被植入定时任务

crontab -l

cd /var/spool/cron

里面有个名为 root 的文件
在这里插入图片描述
发现怎么删都删不掉

cd ..

lsattr

在这里插入图片描述
可以发现cron文件夹及下面的文件可能都被设置了 ia属性

这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式:

a:让文件或目录仅供附加用途。
b:不更新文件或目录的最后存取时间。
c:将文件或目录压缩后存放。
d:将文件或目录排除在倾倒操作之外。
i:不得任意更动文件或目录。
s:保密性删除文件或目录。
S:即时更新文件或目录。
u:预防意外删除。

语法:

chattr [-RV][-v<版本编号>][+/-/=<属性>][文件或目录...]

参数
  
-R 递归处理,将指定目录下的所有文件及子目录一并处理。

-v<版本编号> 设置文件或目录版本。

-V 显示指令执行过程。

+<属性> 开启文件或目录的该项属性。

-<属性> 关闭文件或目录的该项属性。

=<属性> 指定文件或目录的该项属性。

如果提示chattr: command not found。 说明你的chattr也被修改了 
我这里是卸载了e2fsprogs并重新安装:

yum remove e2fsprogs

yum install -y e2fsprogs

然后修改cron目录的属性

chattr -RV -ia /var/spool/cron/

在这里插入图片描述
修改成功,再去删除
终于删了!!

后面发现还有东西

vi ~/.bashrc

被起别名了
在这里插入图片描述
/etc/cron.d目录下发现有个zzh文件
而这个目录是系统定时任务,所以 crontab -l 查不到

在这里插入图片描述
内容如下:
在这里插入图片描述
正好系统一直提示You have new mail in /var/spool/mail/root

vi /var/spool/mail/root

在这里插入图片描述
正是这个东西,移除权限并删除

chattr -ia zzh
rm -rf zzh

完!

┏ (^ω^)=☞�
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透系列:实战分享 | 一次挖矿病毒的溯源----6379---redis
weixin_54626591的博客
01-10 509
实战分享 | 一次挖矿病毒的溯源----6379---redis
如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招
middleware2018的博客
02-27 1168
漏洞概述 近日,互联网出现watchdogs挖矿病毒,攻击者可以利用Redis未授权访问漏洞入侵服务器,通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件删除、CPU 异常等情况,并且会自动感染更多机器,严重影响业务正常运行甚至导致崩溃。 在此,小哥建议您及时开展Redis业务自查并进行升级修复,避免业务和经济损失。   漏洞影响 1、数据泄露。Redis...
Linux防止文件和目录被意外删除或修改
xcosy
01-04 4532
为了防止在Linux系统中意外删除一些重要文件或目录,除了必要的备份之外,还有一个好方法,就是使用: chattr(Change Attribute)命令 在类 Unix 等发行版中,该命令能够有效防止文件和目录被意外的删除或修改。file 文件Linux 中被描述为一个数据结构,chattr 命令在大多数现代 Linux 操作系统中是可用的,可以修改file属性。 命令语法 chattr ...
chattr命令
09-20 320
chattr命令用于改变文件属性. 这项指令可改变存放在ext2文件系统上的文件或目录属性,这些属性共有以下8种模式: a:让文件或目录仅供附加用途。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:将文件或目录排除在倾倒操作之外。 i:不得任意更动文件或目录。 s:保密性删除文件或目录。 S...
用chattr提高ext3文件系统的安全
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
09-13 975
用chattr提高ext3文件系统的安全         本文将详细介绍 EXT3文件系统的属性已经如何使用这个特征保护系统的安全。   1.什么是ext3的属性(attribute)   从Linux的1.1系列内核开始,ext2文件系统就开始支持一些针对文件和目录的额外标或者叫作属性(attribute)。在2.2和2.4系列的内 核中,ext3文件系统支持以下属性的设置和查询:   A  
chattr -i
gyl868的专栏
08-18 395
[code="java"] 7、执行chattr #chattr -i /etc/passwd # lsattr -v /etc/passwd 2095582053 ------------- /etc/passwd # chattr -i /etc/shadow 8、同步文件 pwconv 9、成功修改密码 passwd Changing password for ...
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1650
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Redis-x64-3.2.100.zip
11-21
Redis是一种高性能的键值对数据存储系统,常用于缓存、数据库和消息中间件等场景。Redis-x64-3.2.100.zip是一个针对Windows 64位操作系统的Redis版本,版本号为3.2.100。在安装或使用此版本时,用户可能会遇到一些...
Linux之chattr(+i)
热门推荐
Student Forever
05-29 1万+
charrt(设置文件的隐藏属性)(+i)
PHP 遍历目录下的文件夹和文件以及遍历文件下内容
wuxing164的博客
09-15 539
PHP 遍历目录下的文件夹和文件: /** * 获取文件夹目录下的文件内容 * @param string $dir 文件目录 * @return array */ function gain_dir_filename($dir) { $dirStream = []; if (is_dir($dir)) { if ($dh = opendir($dir)) { while (($filename = readdir($dh)) !== .
chattr +i 锁定文件
a18563862293的博客
03-28 2305
reboot machine, 查看DNS服务器配置文件\etc\resolv.conf, 里面的内容变回原来的样子。 原因是resolv.conf文件被系统程序自动维护。为了防止该文件被跟改,可以为其添加独占权限,即执行 sudo chattr +i /etc/resolv.conf ...
linux chattr用法
10-31 104
  在linux中,我们有的时候发现linux无法删除一个文件或者目录。   huskiesir第一次遇见这个问题还是在一次服务器被不法分子入侵之后的事情,我就发现某个进程很多,根据进程的名字,我搜索关键字找到了某个a.sh文件。   于是huskiesir就用rm -rf a.sh,结果居然是显示 rm: 无法删除"a.sh": 不允许的操作,最后小白的我去上网查才发现,其实是ch...
linux文件加i锁,chattr -lsattr 文件加锁解锁简单用法
weixin_42398050的博客
05-01 1534
chattr: 加锁文件,无修改,无删除权限。常用参数:+a: 可给文件追加内容,但无法删除。+i 加锁文件(文件不能被删除、改名、设定链接关系,同时不能写入或追加内容)-i 解锁文件(与+i相反)常用参数用法:加锁:chattr +i 文件查看加锁: lsattr 文件+i 加锁文件chattr +i /etc/passwd /etc/shadow /etc/group /etc/gs...
如何在Linux下设置目录或文件可读写,但不可以删除权限
飘羽的博客
11-10 3311
例如:现在/home目录下有 :目录 data 和 文件 test.txt (1)设置/home/test.txt可读写但是不可以删除命令(文件设置): sudo chattr +a /home/test.txt (2)取消此权限命令(文件设置): sudo chattr -a /home/test.txt (3)递归的设置/home/data文件夹的可读写,但是不可以删除权限命令(目录设置): ...
linux基本功系列之chattr命令
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
01-24 7064
linux基本功chattr命令实战
chattr命令锁定文件
m0_67900727的博客
03-29 2528
使用chattr命令锁定文件(以 /etc/resolv.conf、/etc/hosts 两个文件为例) 1)语法格式: chattr +i 文件名 #锁定文件(无法修改、删除、追加等) chattr -i 文件名 #解锁文件 chattr +a 文件名 #锁定后文件仅可追加 chattr -a 文件名 #解锁文件 lsattr 文件名 #查看文件特殊属性 2)使用+i锁定文件,使用lsattr查看属性 chattr +i /etc/resolv.conf lsattr /etc/res
linux chattr 用法示例 修改文件属性
genziisme的专栏
04-10 1978
1、用chattr命令防止系统中某个关键文件被修改: # chattr +i /etc/resolv.conf 然后用mv /etc/resolv.conf等命令操作于该文件,都是得到Operation not permitted 的结果。vim编辑该文件时会提示W10: Warning: Changing a readonly file错误。要想修改此文件就要把i属性去掉: chattr
redis怎么清理缓存
最新发布
06-19
Redis是一款内存中的数据结构存储系统,用于提高应用访问速度。清理Redis缓存通常是为了释放内存资源,避免缓存过多导致服务器性能下降。以下是一些常见的清理缓存的方法: 1. **手动键删除**: 使用`DEL`或`HDEL`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值