全球无验证可直接利用 Redis TOP 10 国家与地区
下面说说主要症状:
1、CPU使用率保持高位甚至100%, 几乎是直线;
2、重启服务器后很快CPU又被占满;
3、多个目录下多了一些莫名其妙的文件, 用top或ps- aux可以相应的看到:
如/tmp下的AnXqV, ddg.219, ddg.xxx, .zl, 在/opt下的minerd
应对方法参考:
1、Redis设置鉴权, 非常重要
比如授权IP建议改成bind 127.0.0.1或有限白名单, 决不可设置成0.0.0.0
同时一定一定一定要在大约481行设置:requirepass 你的密码
2、清除木马进程、文件具体可以参考 http://www.setphp.com/981.htmlhttp://www.icnws.com/?p=189
3、清除系统自动加载的设置/var/spool/cron 和 /etc/rc.d/ 和/etc/.ssh下的各种后门设置。
具体可以参考 http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
具体步骤转载大神的办法作为参考。
图片附件: 01.jpg (2017-2-23 22:49, 47.36 KB) / 下载次数 2611http://wdlinux.cn/bbs/attachment.php?aid=7083&k=0183f3879ca7bc8fcf98d305cde9ffed&t=1696294863&sid=2P255G
图片附件: 02.jpg (2017-2-23 22:50, 32.38 KB) / 下载次数 2597http://wdlinux.cn/bbs/attachment.php?aid=7084&k=20dcebb0737b41491cae63a547fe0542&t=1696294863&sid=2P255G
作者: Terabyte 时间: 2017-2-23 23:24
本帖最后由 Terabyte 于 2017-2-25 12:36 编辑
比较详细的方法,转载自:http://www.icnws.com/?p=189
1、关闭访问挖矿服务器的访问:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
2、找到minerd程序:
find / -name minerd*
发现程序在/opt下面,同时发现另外的一个异常文件
KHK75NEOiq33和minerd
3、去掉执行权限
chmod -x KHK75NEOiq33 minerd
4、杀掉进程,kill或pkill随你喜欢
pkill minerd
pkill AnXqV
5、清除定时任务:
systemctl stop crond
我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理
6、清除文件
除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> AnXqV ddg.217 ddg.218 ddg.219 duckduckgo.12.log duckduckgo.17.log duckduckgo.18.log duckduckgo.19.log
这里的文件有个duckduckgo的,大约是翻墙用的搜索对应的进程有ddg.217/218/219
7、清除未知的授权
进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之
8、元凶分析
有说是redis低版本存在的一个漏洞,有人利用这个漏洞提升权限,然后放置了挖矿工具,所以就将默认的端口改了,密码改了,重新启动了服务,基本上能过一段时间了
作者: luqiqi 时间: 2017-2-27 08:22
wdcp默认没有redis吧
作者: winran 时间: 2017-2-27 18:22
回复 1# Terabyte
我是新手,有设置详细教程吗
| 欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/) | Powered by Discuz! 7.2 |