centos - 服务器由于redis配置失误,中了挖矿木马,急需大神帮忙解决?
怪我咯
怪我咯 2017-04-26 09:01:38
0
4
821

由于redis没有配置,黑客利用redis安全漏洞入侵了服务器。
服务器cpu占用率一直处于高位,用top命令发现有个进程
(/usr/sbin/tplink -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 43rBm98TWYnJdGhHmPChR7)
非常吃cpu,于是用kill命令杀,发现提示无相关进程号,说明进程号是伪造的,不是真实的。于是直接删除这个文件/usr/sbin/tplink,可以删除。但是重启服务器之后,这个进程又出来了,然后查看了开机启动等文件都没有发现异常。

接着,通过rkhunter工具分析发现很多命令被篡改了。

接着用另外一台正常的服务器程序替换所有被篡改的文件。
然后重启,所有相关文件又被篡改。
redis.conf也没办法正常配置,启动redis-server 如果后面带了redis.conf配置文件就没法启动,不带redis.conf就能够启动。卸载了redis,然后重新安装redis,依然无法解决。
跪求大神相助,这些问题如何解决,如何彻底清除该木马。

怪我咯
怪我咯

走同样的路,发现不同的人生

모든 응답(4)
習慣沉默

이것을 보세요: 링크 설명

참고로 redis의 경우 비밀번호를 설정하는 것이 가장 좋습니다. 2.8 이하 버전에서는 취약점이 있을 수 있습니다

阿神

1. 기본 포트 수정
2. 인증 강화
3. IP 바인딩
4. 구성 파일을 수정하고 config 명령 실행을 허용하지 않음
, 그냥 시스템을 수행하면 간단하고 효율적입니다. 이 바이러스는 서버에 쉽게 로그인할 수 있으며 무엇이든 주입할 수 있습니다. 해독하기에는 너무 번거롭습니다. . .

大家讲道理

구성이 올바르게 작성되면 구성 파일을 지정할 수 있습니다. 외부 네트워크에 노출되어야 하는 경우에는 구성에서 인증을 추가할 수 있으며, 포트도 변경하는 것이 좋습니다. 6379는 너무 위험해요. .

小葫芦

공용 네트워크에 서비스를 노출하지 마십시오. redis 관련 작업을 통해 파일을 작성하게 되며, 발생하는 상황은 발생하지 않지만 발생한다는 것을 알고 있습니다...

최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿