由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程

2022-09-14 10:05:20 浏览数 (1)

大家好,又见面了,我是你们的朋友全栈君。

由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程

事件描述

某一天的早晨,我还是像往常一样搭着公交车开启打工仔的一天,一早8.30就到办公室了,坐着玩手机等上班,就这这时突然我组长飞快的回来办公室,回来就说快看看阿里云后台服务,服务是不是挂掉了,我当时就纳闷了一大早的流量不大怎么就宕机了呢,不一会我组长收到了阿里云短信通知监测到恶意脚本,接下来就是脚本的查找

前期处理

首先是通过阿里云的控制台发现,查看到恶意的进程PID,通过ps -ef | greap 5724的确看到了当前进程,前期处理我只是通过了kill -9 5724将进程kill了,并且把后台服务也启动了看似风平浪静,更加恐怖再后头

问题再现

但是好景不长过了30分钟作用开始有一个服务又突然宕机,接下来nginx也宕机了,我尝试启动服务,服务器启动失败,我通过top发现我们服务器的CPU与内存居然满载了,估计是由于内存满载的原因导致我宕机服务无法重启

问题排除

再次发送以上的问题后,我开始对问题进行排除,我回想刚刚我明明把进程kill了,怎么还出现这个问题,难道是定时任务我使用crontab -l查看了当前liunx中的定时任务,突然发现一个奇怪30秒执行一次的脚本任务,肯定就是它了,我很庆幸居然那么快找出问题所在

清除定时任务

尝试修改定时任务内容

首先我使用了 crontab -e尝试修改定时任务,修改完毕后:wq!保存居然弹出不允许操作

尝试清除所有定时任务

改不了内容那我不改了,我直接crontab -r删除所有定时任务,居然还不行

文件权限查询

好吧看来文件被做了手脚无法修改了,然后我顺着不允许操作的文件cd /var/spool/cron/目录下并且查看了root这个文件的权限,好像没毛病啊root可读 可写

文件属性查询

经过多次问题的查找,最后发现文件属性被修改了通过lsattr root查看到当前文件属性为a 不得任意更动文件或目录;i 让文件或目录仅供附加用途,接下来的过程会涉及到2个比较默生的命令lsattr(查看文件属性)chattr(更改文件属性)

lsattr与chattr指令文档

接下来说明大部分会使用到这个指令,如果不清楚的小伙伴可以阅读一下这个指令的基本使用与说明

lsattr:文档点这里 chattr:文档点这里 修改文件属性

最后通过chattr -ia root指令将来root文件的属性去掉,真可恶居然把chattr权限去掉了,但是这难不倒我

cd /usr/bin/进入到bin目录找到chattr指令果然,权限都被去除了,我们给它加上可执行权限即可

最后回到定时任务页面尝试将来root文件的属性去除,去除成功并且成功的清空了定时任务

清除脚本文件

定时任务已处理了,还有一个脚本文件newinit.sh再etc目录下,这个简单cd .etc使用rm newinit.sh即可,居然不允许删除,估计还是老套路,继续使用lsattr查看文件属性,果然最后去除文件属性,成功rm了这个脚本文件

总结

最后经过百度发现newinit.sh是一种挖矿脚本,是通过6379端口接入走后门被注入进来的,说到6379大家肯定很熟悉,没错这个就是Redis的默认端口,庆幸的是还好这个木马不是很深入,如果入侵的黑客是大神直接把木马深入到内核那这得重装系统了,经过这个事件以后我奉劝大家2个事情

  1. Redis不要使用默认端口设置一个其它端口
  2. Redis一定要设置密码,并且密码不要过于简单

最后如果对Redis配置文件不熟悉可以点击阅读Redis.conf文件详解

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/159200.html原文链接:https://javaforall.cn

0 人点赞