昨天阿里雲攔截到了一次異常登陸,改了密碼後就沒有管他,
今天阿里雲給我發訊息說我的伺服器可能被黑客利用,存在惡意發包行為。。。。。。。
不過我不打算只是單純的重置系統,經過一系列的查詢原因後,發現被攻擊的原因是我的redis沒有設定登陸密碼(redis 預設情況下,沒有配置登陸密碼,任意使用者可以登入),被黑客利用然後獲取到了我的root許可權。
先用#ps -ef 命令看看有沒有什麼可疑程序
其中:start:該程序被觸發啟動的時間
time :該程序實際使用 cpu 運作的時間
command:該程式的實際指令
發現下面這條程序占用cpu時間十分可疑
然後查了一下後面的/opt/yam/yam······指令,發現這就是利用redis漏洞進行攻擊的指令碼
之後很長的一段時間一直在和redis漏洞的攻擊指令碼作鬥爭。。。。。乙個是gg3lady檔案,還有乙個是yam檔案
嘗試了兩個個小時也無法徹底關閉相關程序和刪除這兩個指令碼。
於是換了一種角度思考,既然病毒程式總是自己啟動,我為何不從自動啟動的地方開始處理。
然後找到計畫任務的檔案/etc/crontab
發現裡面果然多了一行計畫任務*/3 * * * * root /etc/cron.hourly/gcc.sh
先刪除這行計畫任務。
再輸入top命令(top命令可以檢視系統中占用最多資源的程序)
發現乙個名為wyvrzccbqr的程式占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid為473
先暫停他(不要直接殺,否則會再生)# kill -stop 473
刪除 /etc/init.d 內的檔案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的檔案# rm -f /usr/bin/wyvrzccbqr
檢視 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣# ls -lt /usr/bin | head
結果顯示有個名為doeirddtah的檔案也很可疑。於是一起刪掉# rm -f /usr/bin/doeirddtah
現在殺掉病毒程式,就不會再產生。#pkill wyvrzccbqr
刪除病毒本體。# rm -f /lib/libudev.so
這樣問題就解決了
未授權訪問的Redis服務01
在伺服器上開啟redis服務 wget解壓 tar xvf redis stable.tar.gz進入資料夾,編譯 make編譯完成之後,修改redis.conf 中的daemonize從no改為yes,允許後台執行,並修改服務監聽的位址為伺服器ip。進入src資料夾,使用redis.conf配置來...
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案。如果redis以root身份執行,黑客可以給root賬...
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案,如果redis以root身份執行,黑客可以給root賬...