日本少妇高潮pics,欧美成人伊人久久综合网,99v久久综合狠狠综合久久,99精品久久精品一区二区

Board logo

標題: [發(fā)布] 墻裂提醒:安裝Redis一定要設置鑒權(附中招被黑后應對參考) [打印本頁]
作者: Terabyte    時間: 2017-2-23 23:18     標題: 墻裂提醒:安裝Redis一定要設置鑒權(附中招被黑后應對參考)

本帖最后由 Terabyte 于 2017-2-23 23:23 編輯

最近工作有關的幾臺服務器因為安裝Redis未設置鑒權,系統(tǒng)被黑,淪為比特幣挖礦機的寄生肉雞,慘慘慘!
先看看Redis未設置鑒權多么的普遍嚴重:
全球無驗證可直接利用 Redis 分布情況
01.jpg

全球無驗證可直接利用 Redis TOP 10 國家與地區(qū)
02.jpg


下面說說主要癥狀:
1、CPU使用率保持高位甚至100%, 幾乎是直線;
2、重啟服務器后很快CPU又被占滿;
3、多個目錄下多了一些莫名其妙的文件, 用top或ps- aux可以相應的看到:
如/tmp下的AnXqV, ddg.219, ddg.xxx, .zl, 在/opt下的minerd

應對方法參考:
1、Redis設置鑒權, 非常重要
比如授權IP建議改成bind 127.0.0.1或有限白名單, 決不可設置成0.0.0.0
同時一定一定一定要在大約481行設置:requirepass 你的密碼

2、清除木馬進程、文件具體可以參考 http://www.setphp.com/981.htmlhttp://www.icnws.com/?p=189

3、清除系統(tǒng)自動加載的設置/var/spool/cron 和 /etc/rc.d/ 和/etc/.ssh下的各種后門設置。
具體可以參考 http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
具體步驟轉載大神的辦法作為參考。

圖片附件: 01.jpg (2017-2-23 22:49, 47.36 KB) / 下載次數 7105
http://www.szkyjg.com/bbs/attachment.php?aid=7083&k=92cd299b2e7a9a43b62668d9e5a9f25a&t=1750118689&sid=IV6F6a



圖片附件: 02.jpg (2017-2-23 22:50, 32.38 KB) / 下載次數 7103
http://www.szkyjg.com/bbs/attachment.php?aid=7084&k=058f03c3582436a50e4ff6ebbb9d4080&t=1750118689&sid=IV6F6a

作者: Terabyte    時間: 2017-2-23 23:24

本帖最后由 Terabyte 于 2017-2-25 12:36 編輯

比較詳細的方法,轉載自:http://www.icnws.com/?p=189

1、關閉訪問挖礦服務器的訪問:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
發(fā)現(xiàn)程序在/opt下面,同時發(fā)現(xiàn)另外的一個異常文件
KHK75NEOiq33和minerd

3、去掉執(zhí)行權限
chmod -x KHK75NEOiq33 minerd

4、殺掉進程,kill或pkill隨你喜歡
pkill minerd
pkill AnXqV

5、清除定時任務:
systemctl stop crond

我們的系統(tǒng)因為沒有其他定時任務,所以可以直接這樣,如果有需要自己手動備份自己的定時任務,然后清理掉其他的定時任務,情景分析后處理

6、清除文件
除了opt下面的兩個異常文件需要清除,/tmp文件夾下也有文件需要清除,
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

這里的文件有個duckduckgo的,大約是翻墻用的搜索對應的進程有ddg.217/218/219

7、清除未知的授權
進入 ~/.ssh/目錄,發(fā)現(xiàn)多個異常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授權,這里可以看到有REDIS000…的授權key,我們自己沒有設置過,所以直接刪除之

8、元兇分析
有說是redis低版本存在的一個漏洞,有人利用這個漏洞提升權限,然后放置了挖礦工具,所以就將默認的端口改了,密碼改了,重新啟動了服務,基本上能過一段時間了
作者: luqiqi    時間: 2017-2-27 08:22

wdcp默認沒有redis吧
作者: winran    時間: 2017-2-27 18:22

回復 1# Terabyte
我是新手,有設置詳細教程嗎



歡迎光臨 WDlinux官方論壇 (http://www.szkyjg.com/bbs/) Powered by Discuz! 7.2