无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的

[发布] 墙裂提醒:安装Redis一定要设置鉴权(附中招被黑后应对参考)

本帖最后由 Terabyte 于 2017-2-23 23:23 编辑

最近工作有关的几台服务器因为安装Redis未设置鉴权,系统被黑,沦为比特币挖矿机的寄生肉鸡,惨惨惨!
先看看Redis未设置鉴权多么的普遍严重:
全球无验证可直接利用 Redis 分布情况
01.jpg
2017-2-23 22:49


全球无验证可直接利用 Redis TOP 10 国家与地区
02.jpg
2017-2-23 22:50



下面说说主要症状:
1、CPU使用率保持高位甚至100%, 几乎是直线;
2、重启服务器后很快CPU又被占满;
3、多个目录下多了一些莫名其妙的文件, 用top或ps- aux可以相应的看到:
如/tmp下的AnXqV, ddg.219, ddg.xxx, .zl, 在/opt下的minerd

应对方法参考:
1、Redis设置鉴权, 非常重要
比如授权IP建议改成bind 127.0.0.1或有限白名单, 决不可设置成0.0.0.0
同时一定一定一定要在大约481行设置:requirepass 你的密码

2、清除木马进程、文件具体可以参考 http://www.setphp.com/981.htmlhttp://www.icnws.com/?p=189

3、清除系统自动加载的设置/var/spool/cron 和 /etc/rc.d/ 和/etc/.ssh下的各种后门设置。
具体可以参考 http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
具体步骤转载大神的办法作为参考。

回复 1# Terabyte
我是新手,有设置详细教程吗
分子图

TOP

wdcp默认没有redis吧
后知后觉

TOP

本帖最后由 Terabyte 于 2017-2-25 12:36 编辑

比较详细的方法,转载自:http://www.icnws.com/?p=189

1、关闭访问挖矿服务器的访问:
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:
find / -name minerd*
发现程序在/opt下面,同时发现另外的一个异常文件
KHK75NEOiq33和minerd

3、去掉执行权限
chmod -x KHK75NEOiq33 minerd

4、杀掉进程,kill或pkill随你喜欢
pkill minerd
pkill AnXqV

5、清除定时任务:
systemctl stop crond

我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理

6、清除文件
除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,
Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>   AnXqV   ddg.217   ddg.218   ddg.219   duckduckgo.12.log   duckduckgo.17.log   duckduckgo.18.log   duckduckgo.19.log

这里的文件有个duckduckgo的,大约是翻墙用的搜索对应的进程有ddg.217/218/219

7、清除未知的授权
进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之

8、元凶分析
有说是redis低版本存在的一个漏洞,有人利用这个漏洞提升权限,然后放置了挖矿工具,所以就将默认的端口改了,密码改了,重新启动了服务,基本上能过一段时间了

TOP

返回列表