大家好,又见面了,我是你们的朋友全栈君。
记一次挖矿程序入侵以及解决实操!
1,过程记录
系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。
无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。
使用crontab -e查看当前系统的定时任务信息,如下:
显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下:
很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。
并且定时任务文件显示的内容和redis有关,立马联想到前端时间刚安装的redis,存在的安全漏洞问题!(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)
2,解决思路
|
1,crontab -e查看系统定时任务是否有恶意下载链接 2. top命令查看当前耗CPU进程,找到该进程文件所在位置 。chmod -x nanoWatch ,取消掉执行权限, 在没有找到根源前,千万不要删除 nanoWatch,因为删除了,过一回会自动有生成一个。 3. pkill nanoWatch ,杀掉进程 4. service crond stop 或者 crontab -r 删除所有的执行计划 5. 执行top,查看了一会,没有再发现minerd 进程了。 |
3,解决步骤
|
1. 修复 redis 的后门, 1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379. 2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中. 3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度 4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf 2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号 3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉. |
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/149391.html原文链接:https://javaforall.net
