安全老司机|你的服务器被挖矿了吗? – 作者:青藤云安全

近期,虽然虚拟币的交易市场仍处于持续暴跌状况,但服务器被挖矿的现象却屡见不鲜。很多不法攻击者利用系统脆弱性入侵服务器,并在服务器系统内部植入木马后门进行挖矿。

 

前几天凌晨1点,客户打电话跟我求助,反映服务器异常卡顿,并且接收到云服务商的邮件告警,提示服务器资源负载过高,严重影响正常运行。为此,我赶紧ssh进系统,top了下,发现某进程的CPU资源消耗极高,进程名并不是我司业务进程,很可能是被挖矿了。

 

寻找原因-

首先,排查黑客是否通过漏洞进入。通过青藤入侵检测产品的后门检测功能进行扫描,发现在后门检测的告警消息中存在一条“挖矿”信息。通过文件分析,确定这是一个系统后门文件。

后门检测发现挖矿报警消息

 

分析问题-

立马杀死进程,删除文件,但15分钟后该进程又自动开启。结合经验判断,这应该是系统定时任务的自动启动。立马通过青藤资产清点产品,清点查询所有计划任务,果然发现该机器上存在恶意挖矿脚本的定时任务,并且在该任务前面有redis标识。显然这条任务不是管理员设定,而是黑客通过redis应用写入的定时任务。由此,基本可以断定本次黑客正是通过redis系统存在的风险而侵入的。

发现Redis应用标识的定时任务

 

解决问题-

redis到底存在什么样的风险呢?通过青藤风险发现产品,发现该服务器上redis应用存在空口令的情况。同时,利用产品对服务运行权限进行检测,发现redis正在以root高权限运行,并允许任何IP源访问。

redis应用存在弱密码高权限的风险

 

解决之道-

找到根本原因后,解决问题就相对简单了。首先,增加redis密码为强口令;其次,限制redis运行权限,并限制该应用仅允许本机访问。最后,杀死进程并将定时任务和进程启动文件删除,观察几个小时后进程没再启动,网站访问速度恢复正常……

来源:freebuf.com 2019-06-05 15:19:32 by: 青藤云安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论