由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程

事件描述

某一天的早晨，我还是像往常一样搭着公交车开启打工仔的一天，一早8.30就到办公室了，坐着玩手机等上班，就这这时突然我组长飞快的回来办公室，回来就说快看看阿里云后台服务，服务是不是挂掉了，我当时就纳闷了一大早的流量不大怎么就宕机了呢，不一会我组长收到了阿里云短信通知监测到恶意脚本，接下来就是脚本的查找

前期处理

首先是通过阿里云的控制台发现，查看到恶意的进程PID，通过ps -ef | greap 5724的确看到了当前进程，前期处理我只是通过了kill -9 5724将进程kill了，并且把后台服务也启动了看似风平浪静，更加恐怖再后头

问题再现

但是好景不长过了30分钟作用开始有一个服务又突然宕机，接下来nginx也宕机了，我尝试启动服务，服务器启动失败，我通过top发现我们服务器的CPU与内存居然满载了，估计是由于内存满载的原因导致我宕机服务无法重启

问题排除

再次发送以上的问题后，我开始对问题进行排除，我回想刚刚我明明把进程kill了，怎么还出现这个问题，难道是定时任务我使用crontab -l查看了当前liunx中的定时任务，突然发现一个奇怪30秒执行一次的脚本任务，肯定就是它了，我很庆幸居然那么快找出问题所在

清除定时任务

尝试修改定时任务内容

首先我使用了 crontab -e尝试修改定时任务，修改完毕后:wq!保存居然弹出不允许操作

尝试清除所有定时任务

改不了内容那我不改了，我直接crontab -r删除所有定时任务，居然还不行

文件权限查询

好吧看来文件被做了手脚无法修改了，然后我顺着不允许操作的文件cd /var/spool/cron/目录下并且查看了root这个文件的权限，好像没毛病啊root可读+可写

文件属性查询

经过多次问题的查找，最后发现文件属性被修改了通过lsattr root查看到当前文件属性为a 不得任意更动文件或目录;i 让文件或目录仅供附加用途，接下来的过程会涉及到2个比较默生的命令lsattr(查看文件属性)与chattr(更改文件属性)

lsattr与chattr指令文档

接下来说明大部分会使用到这个指令，如果不清楚的小伙伴可以阅读一下这个指令的基本使用与说明

lsattr：文档点这里
chattr：文档点这里
修改文件属性

最后通过chattr -ia root指令将来root文件的属性去掉，真可恶居然把chattr权限去掉了，但是这难不倒我

cd /usr/bin/进入到bin目录找到chattr指令果然，权限都被去除了，我们给它加上可执行权限即可

最后回到定时任务页面尝试将来root文件的属性去除，去除成功并且成功的清空了定时任务

清除脚本文件

定时任务已处理了，还有一个脚本文件newinit.sh再etc目录下，这个简单cd .etc使用rm newinit.sh即可，居然不允许删除，估计还是老套路，继续使用lsattr查看文件属性，果然最后去除文件属性，成功rm了这个脚本文件

总结

最后经过百度发现newinit.sh是一种挖矿脚本，是通过6379端口接入走后门被注入进来的，说到6379大家肯定很熟悉，没错这个就是Redis的默认端口，庆幸的是还好这个木马不是很深入，如果入侵的黑客是大神直接把木马深入到内核那这得重装系统了，经过这个事件以后我奉劝大家2个事情

1. Redis不要使用默认端口设置一个其它端口
2. Redis一定要设置密码，并且密码不要过于简单

最后如果对Redis配置文件不熟悉可以点击阅读Redis.conf文件详解

由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程相关推荐

1. jenkins漏洞导致服务器中了挖矿病毒！cpu飙高351%！看我如何消灭它！

   作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可! 一, 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlib ...

2. 【运维】记一次yapi安全漏洞导致服务器被木马入侵的处理过程

   原本今天应该是一个愉快的周六,突然收到阿里云告警,说服务器有木马风险,让我赶紧处理,我顿时就懵逼了,上阿里云一看,好家伙,4个风险提示.        漏洞出自yapi服务,二话不说先停了服务,然后去 ...

3. gitlab漏洞导致服务器被植入挖矿程序

   记一次安全告警事件的处理 服务器上gitlab又被利用来挖矿 挖矿程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞GitLab rce ( ...

4. 服务器被攻击的发现和解决过程

   记一次服务器被攻击的发现和解决过程 这是之前2018年左右,买阿里云服务器之后,服务器被攻击,当时的记录信息,现在整理一下 出现的问题 解决思路和解决过程 解决思路: 解决步骤: 思考:为什么会出现这 ...

5. 网页java挂挖矿_记一次服务器被植入挖矿脚本的解决过程

   记一次服务器被植入挖矿脚本的解决过程 删除挖矿脚本和对应的进程 找出并删除对应挖矿脚本文件 找出进程pid,并且kill掉 无法kill掉的是原进程的守护进程,原进程不在它也会自动关闭,所以不用管它 ...

6. qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机

   ## qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机 > 之前由于goblog应用因为不知名问题导致程序crash,之前只检查过云服务内存的情况,但是其他信息暂未检查,今天远程到 ...

7. 排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿

   1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时.最后连接上去了,输入命令 uptim ...

8. redis未授权访问致远程植入挖矿脚本

   前言 遇到安全事件发生的时候,我们往往会有相应的处理流程与方法,但是作为一个萌新来说,对于安全事件的处理即应急响应还是比较陌生的,于是今天分享这样一篇文章. 安全应从小事做起,从细节做起 本文转载自& ...

9. 记一次ARM-鲲鹏服务器读写parquet报错解决过程

   背景: 最近客户现场使用华为提供的ARM-鲲鹏服务器集群,使用spark2.4.0,输出数据格式为parquet时,下游流程再使用该输出作为输入时出现报错,报错日志如下: Caused by: jav ...

最新文章

1. 网线传输速度测试_弱电工程CAT5eCAT6CAT6aCAT7网线怎么选择
2. QML模块定义qmldir文件
3. Oracle取最大/最小值函数
4. Android ANR
5. 脑洞大开的插画师，每幅都戳到我诡异的笑点
6. io python 读取pdf_python自动化办公之 Python 解析 PDF
7. Python+BI可视化分析2000W数据之后，告诉你这届毕业生有多难
8. java日期格式正则表达式_Java-日期 正则表达式
9. 博弈论基础-蒋文华（浙大）
10. 使用mqtt.fx连接腾讯云IoT Cloud——超详细
11. 天翎BPM流程引擎助力打造流程服务中台
12. opencv中step、step1、size、elemSize以及elemSize1区别
13. 凌云驭势 亚马逊云科技开启re:Invent中国行
14. java四大名著知乎_《西游记》是否被高估了？四大名著该如何排名？
15. 在Photoshop中设计Web 2.0标签/徽章
16. 豪能转债上市价格预测
17. 【编译原理】分析PL0编译器
18. 利用python开发银行储蓄_用python实现银行转账功能
19. 学会这样用PPT，你也可以靠副业实现财富自由！
20. 苹果手机咋截屏_苹果手机信号满格但是没网络咋处理

热门文章

1. pycharm中的文件路径错误问题：FileNotFoundError: [Errno 2] Unable to open file (unable to open file: name = ‘./D
2. 【并查集】B017_LC_婴儿名字（非常难搞）
3. FOR ALL ENTRIES IN 应该注意的问题
4. linux 2.6.18 exp,LINUX 2.6.18-238 local root exp
5. Word一打开，目录、页码变成代码（Word2019）
6. word中自动生成目录和图表目录
7. 合并邮件时日期格式的修改
8. 读了这篇文章，你将变身web分析大师
9. 室内打靶场中实弹射击靶场需要哪些资质
10. 2023最新CISP模拟考试题库及答案（一）