服务器由于redis未授权访问漏洞被攻击
昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,
今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。
不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。
先用#ps -ef 命令看看有没有什么可疑进程
其中:
START:该进程被触发启动的时间
TIME :该进程实际使用 CPU 运作的时间
COMMAND:该程序的实际指令
发现下面这条进程占用cpu时间十分可疑
然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本
之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件
尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。
于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。
然后找到计划任务的文件/etc/crontab
发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh
先删除这行计划任务。
再输入top命令(top命令可以查看系统中占用最多资源的进程)
发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)
看到它的pid为473
先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head
结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah
現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so
这样问题就解决了
最新文章
- lower power的physical library
- NOJ1142-最大连续和
- C#如何使用和开发自定义配置节
- 动态加载js、css 代码
- jQuery仿苏宁易购导航
- How to customize authentication to my own set of tables in asp.net web api 2?
- 根据新浪天气API获取各地天气状况(Java实现)
- java排序算法-插入排序
- C#中对输出格式的初始化
- Linq to DataSet 和 DataSet使用方法学习
- Java中有关日期的一些常见运算与应用(Date,DateFormat,SimpleDateFormat)
- ACboy needs your help hdu 分组背包问题
- Git 暂存区的概念
- pdf.js在国际化的时候,显示不了中文的解决办法
- eclipse导入已有工程
- bzoj3168 钙铁锌硒维生素 (矩阵求逆+二分图最小字典序匹配)
- oracle中游标详细用法
- oracle em管理平台
- 在ASP.NET MVC下有关上传图片脏数据的解决方案
- Arduino的光敏传感器和超声波测距传感器测试代码