近期,虽然虚拟币的交易市场仍处于持续暴跌状况,但服务器被挖矿的现象却屡见不鲜。很多不法攻击者利用系统脆弱性入侵服务器,并在服务器系统内部植入木马后门进行挖矿。
前几天凌晨1点,客户打电话跟我求助,反映服务器异常卡顿,并且接收到云服务商的邮件告警,提示服务器资源负载过高,严重影响正常运行。为此,我赶紧ssh进系统,top了下,发现某进程的CPU资源消耗极高,进程名并不是我司业务进程,很可能是被挖矿了。
–寻找原因-
首先,排查黑客是否通过漏洞进入。通过青藤入侵检测产品的后门检测功能进行扫描,发现在后门检测的告警消息中存在一条“挖矿”信息。通过文件分析,确定这是一个系统后门文件。
后门检测发现挖矿报警消息
–分析问题-
立马杀死进程,删除文件,但15分钟后该进程又自动开启。结合经验判断,这应该是系统定时任务的自动启动。立马通过青藤资产清点产品,清点查询所有计划任务,果然发现该机器上存在恶意挖矿脚本的定时任务,并且在该任务前面有redis标识。显然这条任务不是管理员设定,而是黑客通过redis应用写入的定时任务。由此,基本可以断定本次黑客正是通过redis系统存在的风险而侵入的。
发现Redis应用标识的定时任务
–解决问题-
redis到底存在什么样的风险呢?通过青藤风险发现产品,发现该服务器上redis应用存在空口令的情况。同时,利用产品对服务运行权限进行检测,发现redis正在以root高权限运行,并允许任何IP源访问。
redis应用存在弱密码高权限的风险
–解决之道-
找到根本原因后,解决问题就相对简单了。首先,增加redis密码为强口令;其次,限制redis运行权限,并限制该应用仅允许本机访问。最后,杀死进程并将定时任务和进程启动文件删除,观察几个小时后进程没再启动,网站访问速度恢复正常……
来源:freebuf.com 2019-06-05 15:19:32 by: 青藤云安全
请登录后发表评论
注册