昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,

今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。

先用#ps -ef 命令看看有没有什么可疑进程

其中:

START:该进程被触发启动的时间

TIME :该进程实际使用 CPU 运作的时间

COMMAND:该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令(top命令可以查看系统中占用最多资源的进程)

发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)

看到它的pid为473

先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

这样问题就解决了

服务器由于redis未授权访问漏洞被攻击的更多相关文章

  1. [ Redis ] Redis 未授权访问漏洞被利用,服务器登陆不上

    一.缘由: 突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑.在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中 ...

  2. Redis未授权访问漏洞的利用及防护

    Redis未授权访问漏洞的利用及防护 什么是Redis未授权访问漏洞? Redis在默认情况下,会绑定在0.0.0.0:6379.如果没有采取相关的安全策略,比如添加防火墙规则.避免其他非信任来源IP ...

  3. Redis 未授权访问漏洞(附Python脚本)

    0x01 环境搭建 #下载并安装 cd /tmp wget http://download.redis.io/releases/redis-2.8.17.tar.gz tar xzf redis-.t ...

  4. redis未授权访问漏洞那拿SHELL

    一.什么是redis未授权访问漏洞: 1.redis是一种文档型数据库,快速高效,存储在内存中,定期才会写磁盘.主要用于快速缓存,数据转存处理等.默认redis开在6379端口,可以直接访问.并不需要 ...

  5. 10.Redis未授权访问漏洞复现与利用

    一.漏洞简介以及危害: 1.什么是redis未授权访问漏洞: Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等 ...

  6. Redis未授权访问漏洞复现

    Redis未授权访问漏洞复现 一.漏洞描述 Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没 ...

  7. [转帖]Redis未授权访问漏洞复现

    Redis未授权访问漏洞复现 https://www.cnblogs.com/yuzly/p/11663822.html config set dirconfig set dbfile xxxx 一. ...

  8. 浅谈Redis未授权访问漏洞

    Redis未授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等 ...

  9. Redis未授权访问漏洞复现与利用

    漏洞简介 Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样将会将Redis服务暴露到公网上,如果在没有设置密码认 ...

随机推荐

  1. HTML5-用canvas画布rotate字体旋转(中国象棋棋谱)。

    一开始我们老师安排我做这个作业,在这个作业我遇到了一个很重大的问题就是,文字旋转这么旋转,我查了很多资料. 1发现绘画正方形,使他正方形中心原点旋转非常容易理解.(我相信这个很多人看一下都会懂,) 1 ...

  2. lua --- unpack

    unpack 返回数组中的所有元素,包括 nil,注意是数组,对于 k-v 是不返回的!!! do , ,o = } print(unpack(tab)) --默认从索引 1 开始 )) --从索引 ...

  3. 回车、换行、空格的ASCII码值—(附ASCII码表)

    回车.换行.空格的ASCII码值 回车,ASCII码13换行,ASCII码10空格,ASCII码32 Return   =   CR   =   13   =   '\x0d'NewLine   = ...

  4. python中的面向对象学习以及类的封装(这篇文章初学者一定要好好看)

    这篇文章对于初学者可以很有效的理解面对过程.面对对象 一.首先介绍一下面向过程和面向对象的比较: 面向过程 VS 面向对象 编程范式 编程是程序员用特定的语法+数据结构+算法组成的代码来告诉计算机如何 ...

  5. python+selenium:点击页面元素时报错:WebDriverException: Message: Element is not clickable at point (1372.5, 9.5). Other element would receive the click: <li style="display: list-item;" id="tuanbox"></li>

      遇到一个非常郁闷的问题,终于解决了, 问题是这样的,NN网站的价格计划,每一个价格计划需要三连击才能全部点开,第一个房型的价格计划是可以正确三连击打开的,可是第二个房弄就不行了,报错说不是可点击的 ...

  6. HeadFIrst Ruby 第六章总结 block return values

    前言 这一章通过抽取一个文件中的确定的单词的项目进行讲解,主要包括了: File 的打开.阅读与关闭 find_all & refuse方法的相关内容 map 方法的相关内容这章的核心是:关于 ...

  7. layui: 子iframe关闭/传值/刷新父页面

    https://www.cnblogs.com/jiqing9006/p/5135697.html layer iframe层的使用,传参   父层 <div class="col-x ...

  8. p1473 Zero Sum

    搜索,最后判断一下是否结果为0就行. #include <iostream> #include <cstdio> #include <cmath> #include ...

  9. android -------- Android Studio调试运行时ADB not responding

    最近有我朋友问我一个android studio的调试运行问题,我记得以前也是遇到过得,所以 来写一下    ADB not responding.If you'd like to retry, th ...

  10. Confluence 6 查看所有空间

    有下面 2 种方法在 Confluence 中查看空间: 空间目录(The space directory) – 在 Confluence 的头部选择 空间(Spaces )> 空间目录(Spa ...