服务器因为redis未设置密码被挖矿分析

ducheng 2020/5/22 17:57:49

1,最近有人反馈网页打开比较忙,我到服务器上面用top 命令 看了一下我们看见有一个进程号 6783 的进程消耗cpu比较高。 我们执行一下命令 根据进程号找到对应的执行服务看到这个东西,我们就知道这是一个挖矿的病毒程序了 这里我们先把他杀死,之后在慢慢剥开他的面纱。 执…

1,最近有人反馈网页打开比较忙,我到服务器上面用top 命令 看了一下

我们看见有一个进程号 6783 的进程消耗cpu比较高。 我们执行一下命令 根据进程号找到对应的执行服务
看到这个东西,我们就知道这是一个挖矿的病毒程序了 这里我们先把他杀死,之后在慢慢剥开他的面纱。 执行 以下命令

在top 看一下

好像没啥用啊,我们在删除试一下

提示我没有权限,但是我是root用户啊,怎么可能没有权限啊。 只有一种可能,文件被锁定,这里我们对文件进行解锁,

发现没有chattr 的命令,这里我们先要执行一下这个 yum -y install e2fsprogs ,完成以后我们就能删除了

top 看一下

进程还存在

再看一下对应的执行程序,
显示已经被删除了。他还在运行,说明有一个守护程序在后台运行 这里我们发现一个异常的.sh

我们把它下载下来,用nodepade++打开,

先看我红线标注的,这就有意思了。首先他设置了免密登录,丫就是root/.ssh 下面的东西我们要先删除。然后使用wget ,curl 下载这几个文件,也就是说下面这几个文件都要删除。

我们先到网上定位一下这个ip, 发现是德国的,境外网站。 在服务器上面ping 一下这个域名

解析出来的ip 是一样的,也就是说这是同一个地址。 这里尴尬的是后缀名是de 的,用whois 解析不出来。万网也不支持该域名的解析。 这里我们只能通过ip 来入手了。

这里我们看到80 端口,开放的,443 端口不开放。也就是支持http,不支持https. 再看一下 22 端口,

我擦 也是关闭的。
这段代码就是每个30秒执行,一下这个脚本,这里就是加入的免密登录的公钥。

给这些文件权限,不能修改。 我们把它全部解除,在删除,再看一下top 的命令

最后总结一下,设置redis 一定要设置密码。切记,切记,切记。

随时随地学软件编程-关注百度小程序和微信小程序
关于找一找教程网

本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。
本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。
[服务器因为redis未设置密码被挖矿分析]http://www.zyiz.net/tech/detail-136705.html

上一篇:Redis 的持久化有哪几种方式?

下一篇:Redis 消息中间件 ServiceStack.Redis 轻量级

赞(0)

共有 条评论 网友评论

验证码: 看不清楚?
    关注微信小程序
    程序员编程王-随时随地学编程

    扫描二维码或查找【程序员编程王】

    可以随时随地学编程啦!

    技术文章导航 更多>
    扫一扫关注最新编程教程