记一次Redis漏洞导致服务器被入侵以及解决的过程

最新推荐文章于 2025-03-23 17:24:08 发布
最新推荐文章于 2025-03-23 17:24:08 发布
阅读量2.7k 收藏 4
点赞数 1
分类专栏: 随笔手记 Redis 文章标签: Redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/orisonchan/article/details/81545812
版权

其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂记录下来,以此为戒。

被入侵现象

  • 服务器多了很多莫名其妙的操作,根据查看操作记录命令history得到。

  • 服务器会莫名其妙重启。

  • 经常ssh免密登录失效。

  • apt-get使用报错。

    报错log如下:

    insserv: warning: script 'S01wipefs' missing LSB tags and overrides
insserv: warning: script 'S02acpidtd' missing LSB tags and overrides
insserv: warning: script 'S99selinux' missing LSB tags and overrides
insserv: warning: script 'S02DbSecuritySpt' missing LSB tags and overrides
insserv: warning: script 'wipefs' missing LSB tags and overrides
insserv: warning: script 'DbSecuritySpt' missing LSB tags and overrides
insserv: warning: script 'selinux' missing LSB tags and overrides
insserv: warning: script 'acpidtd' missing LSB tags and overrides
insserv: There is a loop between service plymouth and mountdevsubfs if started
inss
最低0.47元/天 解锁文章
一文清晰带你认识redis漏洞
逍遥小哥的博客
02-01 1977
主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids 4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。数据持久化:Redis提供持久化功能,可以将数据保存到磁盘上,以防止数据丢失。Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
redis导致java的cpu过高,redis 漏洞造成服务器入侵-CPU飙升
weixin_39958631的博客
03-12 703
前言前几天在自己服务器上搭了redis,准备想着大展身手一番,昨天使用redis-cli命令的时候,10s后,显示进程已杀死。然后又试了几次,都是一样的结果,10s时间,进程被杀死。这个时候我还没发现事情的严重性。发现问题进程莫名被杀死,可能是cpu被占满,赶紧看了一下cpu。[root@vm_0_13_centos etc]# top果然如此,cpu被莫名的占满了。简单,根据pid杀死进程就行了...
服务器 redis入侵
beyond__devil的博客
09-04 885
这几天服务器上的 redis,出现了一个比较严重的问题: 程序返回错误: MISCONF Redis is configured to save RDB snapshots, but is currently not able to persist on disk. Commands that may modify the data set are disabled. Please ch...
利用redis入侵服务器
weixin_43641575的博客
01-17 778
通过redis入侵服务器的原理是:利用了redis默认配置,许多用户没有设置访问的key。然后通过向redis把自己的公钥写入到redis,然后利更改redis的数据库文件配置,把数据写入到认证文件。形成免密码登陆。 一,生成本地ssh公钥 ssh-keygen 最后在/root/.ssh/id_rsa.pub这个文件里面 二,先连接redis看看 telnet 10.10.10.102 6379...
redis未授权访问漏洞(三种方法)
最新发布
lza20001103的博客
03-23 1246
redis未授权访问漏洞(三种方法)
Redis没有加密漏洞导致服务器入侵以及解决过程
lingmeng447的专栏
04-30 865
一次Redis漏洞导致服务器入侵以及解决过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
一次愚蠢的Redis配置导致Linux服务器被恶意攻击
u012708900的博客
12-23 906
起因 之前Linux服务器上面一直启的Redis单机,并设置了密码。也没出现过问题。对安全这方面也不太敏感。 前天重新搭建了Redis集群(一主两从三哨兵),都只是做了最简单的配置,期初master配置中是有密码的,但是在配置slave时,没有添加masterauth配置项(因为无知,- -!),导致主从复制一直失败,索性就把master中的requirepass给注释掉了。再次重启主从复制成功了,哨兵的配置也成功启动,发现模拟故障转移也莫得问题,就认为万事大吉了。 经过 然而昨天中午的时候,收到了阿里云的
录一下五天前的晚上阿里云服务器redis入侵的经历
weixin_43938739的博客
05-17 905
我是个普通大二学生,最近做项目需要部署到服务器上,于是我月初在阿里云买了个小服务器,安装好jdk,tomcat,mysql,redis就没管了,第一次服务器,没什么经验,当时漏洞我没管,打算有空再搞.redis密码也没设置(太蠢了),端口还是默认的6379对外网开放. 就这么相安无事过了7天吧,那天晚上还在打游戏,看到阿里云发来的短信心头一紧,马上上去看,被入侵了,查了一会,发现是挖矿木马,就是如下这种 https://zhuanlan.zhihu.com/p/54610161 我上来就登录redis f
Redis漏洞复现——Redis 4.x/5.x 未授权访问漏洞
Aquarius_ego的博客
03-30 4839
Redis 4.x/5.x 未授权访问漏洞复现
利用老版本 Redis 漏洞获取服务器 root 权限。
顽石的专栏
12-26 6723
1. 背景介绍redis 服务默认情况下是未配置密码的,如果所在服务器恰好开了外网则此时很容易借助 redis漏洞获取到目标服务器的 root 权限。 yum 安装的 3.x 系列的 redis 一般默认开启了 protected 模式,此时只能从 127.0.0.1 连接操作 redis-server: 如果远程连接上,则不能进行操作: 如果用户从本地连上 redis-serve
请务必注意 Redis 安全配置,否则将导致轻松被入侵
多看多听多总结
12-16 4463
一、前言 前段时间,在做内网影响程度评估的时候写了扫描利用小脚本, 扫描后统计发现,内网中60%开放了redis6379端口的主机处于可以被利用的危险状态,因为都是一些默认配置造成的 考虑到本社区大部分开发者都会使用redis,特此分享下以便大家可以对自己公司的内网进行一个排查。 二、漏洞介绍 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Red
阿里云centos环境之被木马攻击的一次录<持续观察中>
陈袁的博客
01-05 3517
阿里云centos环境之被木马攻击的一次录 1.背景 阿里云上ECS服务器上每天23点在tomcat/webapps都会自动下载下mydata.war,可以确定的是mydata.war是个木马,虽然删除但还是会定时下载 2.定时任务 首先想到的是定时任务命令crontab,crontab命令的功能是在一定的时间间隔调度一些命令的执行 查看文件/etc/crontab vi /et
linux acpidtd 进程,MaciASL提取的原版的DTDS编译提示有错误,大牛帮忙看下吧。
weixin_33134401的博客
05-05 440
刚提取出来就有好几个BUG啊,实在看不懂,谁帮忙看下。DSDT.zip(57.25 KB, 下载次数: 1)2014-6-8 11:17 上传下载次数: 1下载积分: 米币 -1屏幕尺寸:15.6英寸 1366x768CPU型号:Intel 酷睿i5 3230MCPU主频:2.6GHz 内存容量:4GB(4GB×1) DDR3 1600MHz硬盘容量:500GB 5400转显卡芯片:NVIDIA ...
装完redis服务器被kdevtmpfsi挖矿程序入侵
whan的博客
03-24 825
最近在模拟生产环境,买了两台测试服务器,装了redis后,第二天电脑就瘫痪了,内存,满了,我以为自己redis哪里配置错了,结果发现被kdevtmpfsi挖矿程序入侵。 kill 掉kdevtmpfsi集成后,这个顽固分子马上又启动了 kill掉守护进程名称为kinsing 第一步 top 找到kdevtmpfsi的进程号 第二步systemctl status 进程号 可以看到kdev...
一次Redis入侵(被黑)处理过程
nelson的博客
05-22 3698
通常作为一名后端程序员,并没有系统的学习过关于服务器安防相关的知识,遇到服务器被黑的情况往往比较迷茫,不知道从何下手。服务器可能遭受的攻击多种多样,以下主要讲述的是我本次遇到的一次服务器被黑客拿来当矿机的处理过程。 攻击的发现 之所以发现服务器被攻击了是因为有用户反馈系统卡顿非常严重,我知道一般用户反馈描述的那个时间点不应该会有这么高的延迟的,所以就登录服务器查看以下CPU等资源的消耗情况。(挖矿...
redis配置不当可直接导致服务器被控制
★匆匆★的专栏
11-14 1974
http://www.secpulse.com/archives/40406.html#respond 预警简述: 2014年的时候安全脉搏首发《利用redis写webshell》《redis写shell的小技巧》 近日我们监测到antirez.com曝出redis存在高危安全风险,攻击者利用该风险可直接控制业务服务器导致入侵。 目前已监测到攻击者正在利用该漏洞攻击
redis被攻击笔
半僧
12-31 3564
公司redis集群不断丢失数据,莫名进程不断涌起。经过几天排查,锁定redis被攻击。很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。 下面还原攻击情况:寻找无验证的redis
利用Redis漏洞远程向服务器写入定时任务
kouryoushine的博客
02-25 6061
由于近期阿里云服务器报警redis漏洞,经过调查对黑客的入侵过程进行了整理并模拟一遍,庆幸此次黑客行为未对公司造成影响,同时还让我学习了很多知识,这里分享给大家。 1,被入侵的前提条件 redis没有设置密码 。 redis配置文件没有打开保护模式,并且没有bindIP地址 。 安全组设置打开了redis的6379端口。 以root用户启动redis。 有人可能会问,怎么可能这么傻,连个密码都不...
常见IT系统未授权漏洞风险与Redis示例
首先,Redis是一个键值存储系统,其默认配置可能会暴露在公网上,如果未设置密码认证,任何可访问目标服务器的人都能轻易地执行config命令,从而执行恶意操作,如写入SSH公钥实现远程登录、添加计划任务或植入...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值