記錄一次被攻擊勒索(redis「未授權訪問」漏洞)

2021-08-13 07:03:11 字數 1489 閱讀 2552

#/var/log/auth.log:


dec 9


14:41:32 localhost sshd[25235]: accepted publickey for root from


185.153


.198


.57 port 36148 ssh2: rsa sha256:sdmm2kh/ncgqwmxufenkv7fv1ed4sxqlohmifgmxll8


#/var/log/syslog:


dec 9


14:41:32 localhost systemd[1]: started session 58722


of user root.


dec 9


14:41:35 localhost systemd[1]: session-33891.scope: killing process


12706 (redis-server) with signal sigterm.


dec 9


14:41:35 localhost systemd[1]: stopping session 33891


of user root.


dec 9


14:41:35 localhost systemd[1]: stopping user manager for uid 0...


dec 9


14:41:35 localhost systemd[1]: stopped target graphical inte***ce.


dec 9


14:41:35 localhost systemd[1]: stopped target multi-user system.
您好, 伺服器上部署的業務應用安全這邊無法為您保證安全,建議您從如下方面排查:

1、排查redis是否存在「未授權訪問」漏洞:

2、請您做好如下伺服器上如下方面的防護,排查:

首先是黑客通過reids未授權訪問漏洞,將自己的公鑰注入到/root/.ssh/authorized_keys,然後以ssh方式登陸就實現了getshell(取得許可權),之後想幹啥就幹啥了嘛。從系統日誌裡可以看到,從登陸到關機只用了3秒,應該是跑指令碼。我還發現乙個勒索檔案/root/read_me.txt,原文如下:

hi, please view here:  for information on how to obtain your files!
開啟**一看,說他已經轉移了我的檔案,只有交了0.1個位元幣並發郵件告訴他其它詳細資訊才會歸還我的資料。(心中一萬個草泥馬奔過,如果我公司的資料庫因此丟失且沒法恢復,我估計要跑路了,畢竟被偷走的東西給再多的錢不可能還回來的,時值位元幣乙個月內狂漲十倍價值十萬元一枚……)我表面毫無波動,甚至在內心覺得可笑,這伺服器什麼重要的資料都沒有。。。

我一定會聽話地學習安全排查,資料庫的東西必須每天備份轉移。

一次伺服器被攻擊的記錄

最初始的時候是安全部門告知我們 伺服器疑似被攻擊 然後和客戶協調了安全部門的兩位人員協助排查一下,主要排查了系統日誌 messages和secure nginx日誌和tomcat日誌,還排查了一些系統登入 操作異常 登入資訊 歷史命令等 排查後沒有發現什麼異常,所以當時判斷伺服器沒有被攻擊 過了大概...

記錄一次redis 被挖礦的經歷

專案加入redis,伺服器redis 剛開始想著先全部開發訪問,等快上線了再配置密碼什麼的。沒想到第二天就中招了額。好吧,剛開始查了cpu占有率特高,然後redis 多出bakeup1 bakeup 2.刪除了,再出現。於是就找到了問題的根源了。redis 被挖礦了。第一步,先在 root ssh ...

記一次被自己DDOS攻擊

伺服器報警 初步分析 進一步分析 最終分析 總結toc 7月24號下午5點半開始,突然伺服器報警,檢查監控,發現cpu異常100 該伺服器正常情況下cpu使用率在40 已經算高了,另外負載經過除錯都保持在cpu承受範圍內。系統負載同時飆公升 資料報的量直上雲霄 tcp連線數上2w,正常情況下最多6k...