一次Linux中的木马病毒解决经历(6379端口---newinit.sh)

已于 2023-12-06 21:43:07 修改
阅读量946 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 运维 linux 网络安全
于 2023-08-17 23:30:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54626591/article/details/132352633
网络安全 专栏收录该内容
218 篇文章 ¥299.90 ¥399.90
订阅专栏
本文记录了一次Linux服务器遭受木马病毒入侵的过程,病毒通过6379端口利用Redis服务进行传播。在排查过程中,发现newinit.sh脚本异常,且文件具有特殊权限导致无法删除。通过chattr命令解除文件保护,清理定时任务,最终解决了CPU100%的问题。总结了木马的执行原理,强调了木马防范的重要性。

病毒入侵解决方案

情景

最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的.

在这里插入图片描述
在这里插入图片描述

排查

既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.

这个时候就说明木马已经入侵了,不是即时入侵的.

于是自然的使用top,ps,crontab等方案去排查

  • top

    从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.

  • ps -aux > /usr/local/ps;vim /usr/local/ps

    从进程列表中发现了两个不

了解本专栏 订阅专栏 解锁全文
newinit.sh挖矿攻击处理与规避方案
ck784101777的博客
05-28 1157
newinit.sh 主要功能是:关闭selinux、杀掉别人的挖矿进程、杀掉CPU占用过高的进程,如果是自己就跳过、修改破坏系统命令、自己造一个下载器downloads()函数、解锁和加锁定时任务、添加挖矿技术任务、设置SSH免密登陆、下载执行矿机挖矿程序、关闭防火墙、清除日志、感染已知的免密机器。临时处理方式,如果被植入newinit.sh,一定迁移服务,攻击脚本中修改太多的系统服务配置,人工很难恢复到健康的服务状态,所以能迁移就迁移。·mysql、redis、mq等基础软件,一定要关注安全更新。
记录newinit.sh攻击代码处理过程
qi__qi1的博客
08-15 1299
chattr 和lschattr 两个命令很重要恢复chattr权限。
一次Linux中的木马病毒解决经历,附超全教程文档
2401_84248479的博客
04-11 1105
既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.又正常了,又过了半小时又CPU100%,这个时候想到肯定是有定时器或者开机自启的服务,通过ps查看,杀死的两个进程又有了…从进程列表中发现了两个不正常的进程都是newinit.sh,我是没有这样的一个脚本的,所以一定是这个进程惹的祸。
newinit.sh--linux运行脚本
04-18
newinit--linux优化脚本
解决服务器提示端口6379对外攻击行为
最新发布
qq_47690976的博客
07-25 207
6379作为redis的默认端口如果不设置密码,会限制该服务对外6379的访问,会导致redis启动失败,或者服务无法访问redis的问题具体解决方法:转载:YnsStudy
一次Linux中的木马病毒解决经历
欢迎来到我的博客
12-29 1855
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的. 排查 既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了. 这个时候就说明木马已经入侵了,不是即时入侵的. ...
一次Linux中的木马病毒解决经历(1)
2401_84048161的博客
04-18 1047
排查既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了.这个时候就说明木马已经入侵了,不是即时入侵的.于是自然的使用top,ps,crontab等方案去排查从top上发现CPU占用100%,但是没有任何一个进程是占用很多CPU的,无法排查.
【应急响应】2020应急响应基础-Windows、Linux合集_kali tomcat应急响应
2401_89791770的博客
01-13 1697
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf日志文件说明记录了系统定时任务相关的日志记录打印信息的日志记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息记录邮件信息记录系统重要信息的日志。
在渗透测试中,探测到6379端口,你打算怎么利用
vivlol918的博客
08-28 5621
6379端口是Redis数据库的默认端口号。Redis是一种基于键值对的内存数据库,具有高性能和灵活的数据存储和检索功能。
一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 5172
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
redis 6379 对外攻击_redis漏洞复现
weixin_35989968的博客
01-14 2591
一、漏洞简介什么是redisredis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础...
解决腾讯云服务器存在端口(6379)对外攻击行为
m0_53078233的博客
04-13 8431
解决腾讯云服务器存在端口(6379)对外攻击行为
【清理/etc/newinit.sh
qq_36769964的博客
08-19 1016
清理/etc/newinit.sh
Redis被攻击导致服务器向外攻击外服务器6379端口
qq1047140282的博客
10-31 972
Redis被攻击导致服务器向外攻击外服务器6379端口 服务器自己挂了个Redis练习用的,结果刚开始没有加密码导致被病毒攻击后持续攻击其他服务器而被阿里封禁。解决过程如下: 1、top命令查看系统内消耗最高的程序列表 2、ps -ef | grep rshim 命令查看此进程位置和进程号,发现是在/usr/sbin/目录下 3、chmod 600 /usr/sbin/rshim 命令修改程序权限,让他不能写,然后kill -9 进程号 杀掉进程。 搞定! 新的改变 我们对Markdown编辑器进行了
记录一次腾讯云服务器中毒,CUP100%,违规攻击其他服务器6369端口的警告
阿锦的博客
03-11 1326
文章目录 大清早的醒来突然收到腾讯云的邮件,大概就是说你的服务器违规了,攻击了其他服务器6379端口,一看这端口这不是我昨天装的redis嘛,重要的是这端口还没改密码!我尼玛肯定是中毒了的节奏啊,登录服务器一看CPU莫名其妙的达到了100%,真是见鬼了,肯定是后台跑满了啥挖矿程序…看来只能重装系统了!! 所以有几个建议: 安装中间件的时候考虑不要使用默认端口:如6379,8080,2181等一些熟知端口 一定要设置密码!设置密码!设密码! 不要乱开放安全组,允许任意ip访问服务!! ...
记录一次挖矿事件
weixin_40368523的博客
05-20 2063
事件参考网上文章解决:https://blog.csdn.net/mdzz14/article/details/111656726 某一天在测试环境使用dcoker的时候发现不能使用,起初怀疑是否由同事卸载,后续在使用curl命令的时候发现不能使用,怀疑服务器出现了别的异常并在crontab下发现了异常脚本newinit.sh的脚本,证实服务器中了挖矿病毒。 原因:开发在测试环境搭建的redis,服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过R.
14-未授权漏洞利用
weixin_57448301的博客
04-05 657
Redis未授权访问漏洞、Docker未授权访问漏洞
用最简单的linux命令学习测试redis请求协议
qq_35475714的博客
02-28 320
redis请求协议,支持两种类型:PROTO_REQ_INLINE(内联型)、PROTO_REQ_MULTIBULK(批量回复协议型)。redis服务器通信中,用的都是协议型请求类型,同时也支持内联型请求类型(没有严格的协议封装,支持简单的请求方式接入)。 1、批量回复协议型(支持批量命令) 请求格式: *<参数数量> \r\n $<参数 1 的字节数量> \r\n <参数 1 的数据> \r\n ... $<参数 N 的字节数量> \r\n <参数 N
Linux系统被挖矿木马植入newinit.sh解决方法
Lanson的博客
10-24 970
Linux系统被植入挖矿木马如newinit.sh时,这通常意味着你的系统已经被攻击者入侵并用于非法的加密货币挖矿
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值