公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过

最新推荐文章于 2024-06-20 09:36:38 发布
最新推荐文章于 2024-06-20 09:36:38 发布
阅读量454 收藏
点赞数
分类专栏: 网络安全 运维 公开 文章标签: linux redis 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54626591/article/details/132474103
版权
运维 同时被 3 个专栏收录
268 篇文章 3 订阅 ¥129.90 ¥299.90
订阅专栏
网络安全
170 篇文章 4 订阅 ¥299.90 ¥399.90
订阅专栏
公开
47 篇文章 0 订阅
订阅专栏
本文记录了一次Linux服务器因Redis配置不当遭受pnscan病毒攻击的过程,包括病毒感染的症状、原因分析、排查解决步骤及Redis的安全使用建议。作者提醒设置Redis的非默认端口、客户端连接密码,并限制IP白名单,以防类似攻击。
摘要由CSDN通过智能技术生成

一次惨痛的教训:被pnscan病毒攻击的经过(公网中Linux系统下Redis使用注意事项)

0.案发情况

pnscan病毒感染惨状:

  • 使用top & ps & netstat 等等命令,都无法正常使用

  • CPU基本100%,时不时网络中断

  • redis端口6379被大规则线程占用

  • 通过lsof -i:6379 查看进程,发现进程id一直在变动

  • rm -rf 攻击的脚本,显示没权限(加sudo也没用,彻底对这个病毒服气了!)

>>提示<<

最终因为被感染的文件实在太多,只能重装系统。尽管删除了核心的攻击脚本,但是我自己的很多脚本命令也被破坏了。

如果整个排查过程对你有帮助,请继续看,如果你想彻底解决掉,可以关闭此页面了(我也没找到彻底解决的方案!)

1.案发原因

起初redis设置了非默认的端口号,也设置了密码,用起来看似平静。
后来,把密码去掉了,端口号改为默认6379了。结果、结果就…

2.排查过程

简单排查之后,发现啥都做

了解本专栏 订阅专栏 解锁全文
坦笑&&life
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
阿里云linux服务器的一次糟糕体验-pnscan病毒
qq_37372909的博客
06-20 452
阿里云新买的linux,被安装兄弟安装后,不到一周pnscan挖坑病毒
Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
懒得一批的打工人博客
08-17 884
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络redis端口6379
推荐开源项目:pnscan - 并行网络扫描工具
最新发布
gitblog_00035的博客
06-20 381
推荐开源项目:pnscan - 并行网络扫描工具 项目地址:https://gitcode.com/ptrrkssn/pnscan 项目介绍 pnscan是一个专用于IPv4 TCP网络服务调查的工具。它由Peter Eriksson开发并维护,能够帮助你检测如SSH、FTP、SMTP、Web和IDENT等服务的版本信息。虽然目前不支持IPv6,但对IPv4的支持非常全面,是系统管理员和安全研究人...
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1650
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时未使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
记一次[pnscan]服务器入侵解决[scan]解决过程
铁血军的小博客
07-28 746
1.发现过程 突然发现自己的程序被莫名的终止。随后用top命令查看资源占用情况,发现有一个pnscan占用了大部分的资源。 2.难点 这个进程的pid在实时刷新,直接用kill-9 +pid的方式无效 3.解决办法 第一步:ps -aux | grep pnscan 第二步:定位到文件后进行删除。 第三步:此时发现,木马进入初始程序,疯狂反扑,现在后台进程多了个[scan]进程,占用cpu资源70%左右。 第四步:重复第一步与第二步,将文件删除。此时可以发现,木马病毒刚好在redis的配置文件目录下。 删
记录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 787
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
linux系统下安装redis的方法
09-09
Linux系统安装Redis是一个常见的任务,特别是在搭建服务器或开发分布式缓存系统时。Redis是一个高性能的键值存储系统,广泛用于数据缓存、消息队列以及数据库等场景。以下是详细步骤,帮助你在Linux上安装Redis...
Linux 系统 安装redis redis-5.0.1.tar.gz 安装包
03-28
Linux系统安装Redis是一个常见的任务,特别是在搭建服务器或开发基于Redis的数据缓存应用时。Redis是一个开源的、高性能的键值对存储系统,适用于数据缓存、消息队列等多种场景。本文将详细介绍如何在Linux上...
Linux设置Redis开机启动的方法
01-21
一、CentOS 7.0系统下的设置方法 假设Redis已经安装,版本3.2.4 #cd redis-3.2.4 #mkdir /etc/redis #cp redis.conf /etc/redis/6379.conf #cp utils/redis_init_script /etc/init.d/redis #chmod a+x /etc/init.d/...
Linux使用Docker搭建Redis集群
01-07
使用host网络进行搭建集群 docker的网络类型 docker的网络类型有: None:不为容器配置任何网络功能,没有网络 –net=none Container:与另一个运行的容器共享Network Namespace,–net=container:containerID Host:...
linuxredis的安装与使用
01-20
Linux环境下,特别是CentOS 6.9操作系统Redis是一个流行的数据存储和缓存系统,常用于数据库、消息队列、数据结构服务器等多种场景。本文将详细介绍如何在该系统安装并配置Redis。 首先,我们通过`yum`包...
腾讯云服务器被黑客挂pnscan病毒排查
范大的博客
10-19 1445
腾讯云服务被黑客挂载病毒,CPU负荷过高且top无法查看
阿里云服务器被pnscan挖矿病毒入侵如何解决?
m0_64344919的博客
01-26 1234
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
排查腾讯云服务器被挖矿病毒pnscan】挟持
fanxindong0620的博客
09-27 6447
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
记一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 4544
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
Linux Redis自动化挖矿感染蠕虫分析及安全建议
A_991128a的博客
01-11 387
自从Redis未授权问题获取Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例,其就存在一类利用该问题进行挖矿并且会利用pnscan自动扫描感染其他机器;该类攻击一直存在,不过在近期又呈现数量增加的趋势,在最近捕获到多次,我们针对其做下具体的分析。
小白被挖矿木马整emo的一天
wangluoanquan111的博客
12-30 812
今天在打开服务器准备进入docker的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。看到了熟悉的6379 ,确认从redis入侵无疑了,想起我的redis只是测试使用,所以没有设置密码。2375 ,好熟悉的端口,这不是我前天为了远程连接docker部署项目打开的吗。可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接。当我删完,我以为就应该没事了,结果cpu还是占用很高。一时间我悟了,原来病毒不止一个。
记录阿里云被挖矿病毒pnscan盯上的一次
dfdsfdsfwsedf的博客
12-19 975
首先第一步,挖矿病毒一定会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修改。不知道为啥,今天部署了一个后端程序,突然黑客大佬就强行塞进了一大堆病毒,其最熟悉的还是我们的老顾客,pnscan,臭名昭著的挖矿病毒。然后使用新的chattr文件修改被锁住的chattr。然后给新的chattr赋权限,并复制过去替代锁住的。然后查看修改后的属性,只要没有-i -a就行了。# 查看公钥文件的权限属性。
Linux系统Redis的安装与部署教程
"RedisLinux系统的安装及部署教程" Redis是一个开源的、免费的、高性能的键值数据库,特别适合用作数据缓存和快速数据处理。它以丰富的数据结构(如列表、集合、有序集合和哈希表)而闻名,并支持数据持久化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值