Board logo

标题: [发布] 墙裂提醒:安装Redis一定要设置鉴权(附中招被黑后应对参考) [打印本页]

作者: Terabyte    时间: 2017-2-23 23:18     标题: 墙裂提醒:安装Redis一定要设置鉴权(附中招被黑后应对参考)

本帖最后由 Terabyte 于 2017-2-23 23:23 编辑

最近工作有关的几台服务器因为安装Redis未设置鉴权,系统被黑,沦为比特币挖矿机的寄生肉鸡,惨惨惨!
先看看Redis未设置鉴权多么的普遍严重:
全球无验证可直接利用 Redis 分布情况
01.jpg
2017-2-23 22:49


全球无验证可直接利用 Redis TOP 10 国家与地区
02.jpg
2017-2-23 22:50



下面说说主要症状:
1、CPU使用率保持高位甚至100%, 几乎是直线;
2、重启服务器后很快CPU又被占满;
3、多个目录下多了一些莫名其妙的文件, 用top或ps- aux可以相应的看到:
如/tmp下的AnXqV, ddg.219, ddg.xxx, .zl, 在/opt下的minerd

应对方法参考:
1、Redis设置鉴权, 非常重要
比如授权IP建议改成bind 127.0.0.1或有限白名单, 决不可设置成0.0.0.0
同时一定一定一定要在大约481行设置:requirepass 你的密码

2、清除木马进程、文件具体可以参考 http://www.setphp.com/981.htmlhttp://www.icnws.com/?p=189

3、清除系统自动加载的设置/var/spool/cron 和 /etc/rc.d/ 和/etc/.ssh下的各种后门设置。
具体可以参考 http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
具体步骤转载大神的办法作为参考。

图片附件: 01.jpg (2017-2-23 22:49, 47.36 KB) / 下载次数 1904
http://wdlinux.cn/bbs/attachment.php?aid=7083&k=36b811b323d89b499ede43bd5abace33&t=1664310285&sid=98n9cy



图片附件: 02.jpg (2017-2-23 22:50, 32.38 KB) / 下载次数 1857
http://wdlinux.cn/bbs/attachment.php?aid=7084&k=bcb376ef44817354820671f38ef2b9b0&t=1664310285&sid=98n9cy


作者: Terabyte    时间: 2017-2-23 23:24

本帖最后由 Terabyte 于 2017-2-25 12:36 编辑

比较详细的方法,转载自:http://www.icnws.com/?p=189

1、关闭访问挖矿服务器的访问:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
发现程序在/opt下面,同时发现另外的一个异常文件
KHK75NEOiq33和minerd

3、去掉执行权限
chmod -x KHK75NEOiq33 minerd

4、杀掉进程,kill或pkill随你喜欢
pkill minerd
pkill AnXqV

5、清除定时任务:
systemctl stop crond

我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理

6、清除文件
除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

这里的文件有个duckduckgo的,大约是翻墙用的搜索对应的进程有ddg.217/218/219

7、清除未知的授权
进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之

8、元凶分析
有说是redis低版本存在的一个漏洞,有人利用这个漏洞提升权限,然后放置了挖矿工具,所以就将默认的端口改了,密码改了,重新启动了服务,基本上能过一段时间了
作者: luqiqi    时间: 2017-2-27 08:22

wdcp默认没有redis吧
作者: winran    时间: 2017-2-27 18:22

回复 1# Terabyte
我是新手,有设置详细教程吗




欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) Powered by Discuz! 7.2