展开

关键词

记一次Linux被变“矿机”全过程

作案动机上面的计划任的意思就是每 15 分钟去上下载一个脚本,并且执行这个脚本。 写这个配置,自然也就是利用了 Redis 把缓存内容写本地文件的漏洞,结果就是用本地的私钥去登陆被写公钥的了,无需密码就可以登陆,也就是我们文章最开始的 root.sshauthorized_keys 登录之后就开始定期执行计划任,下载脚本。好了,配置文件准备好了,就开始利用 Masscan 进行全网扫描 Redis ,寻找肉鸡。 那么问题是,这台是怎么中招的呢?看了下 redis.conf,Bind 的地址是 127.0.0.1,没啥问题。 使用密码限制访问 Redis使用较低权限帐号运行 Redis到此,整个过程基本分析完了,如果大家对样本有兴趣,也可以自行去 Curl,或是去虚拟机执行上面的脚本。

70220

记一次 Linux 被变“矿机”全过程

周一早上刚到办公室,就听到同事说有一台登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。?不一会运维的同事也到了,气喘吁吁的说:我们有台被阿里云冻结了,理由:对外恶意发包。 作案动机 上面的计划任的意思就是每 15 分钟去上下载一个脚本,并且执行这个脚本。 写这个配置,自然也就是利用了 Redis 把缓存内容写本地文件的漏洞,结果就是用本地的私钥去登陆被写公钥的了,无需密码就可以登陆,也就是我们文章最开始的 root.sshauthorized_keys 登录之后就开始定期执行计划任,下载脚本。好了,配置文件准备好了,就开始利用 Masscan 进行全网扫描 Redis ,寻找肉鸡。 使用密码限制访问 Redis使用较低权限帐号运行 Redis到此,整个过程基本分析完了,如果大家对样本有兴趣,也可以自行去 Curl,或是去虚拟机执行上面的脚本。

48320
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    记一次 Linux 被变“矿机”全过程

    周一早上刚到办公室,就听到同事说有一台登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台被阿里云冻结了,理由:对外恶意发包。 作案动机上面的计划任的意思就是每 15 分钟去上下载一个脚本,并且执行这个脚本。 写这个配置,自然也就是利用了 Redis 把缓存内容写本地文件的漏洞,结果就是用本地的私钥去登陆被写公钥的了,无需密码就可以登陆,也就是我们文章最开始的 root.sshauthorized_keys 登录之后就开始定期执行计划任,下载脚本。好了,配置文件准备好了,就开始利用 Masscan 进行全网扫描 Redis ,寻找肉鸡。 使用密码限制访问 Redis使用较低权限帐号运行 Redis到此,整个过程基本分析完了,如果大家对样本有兴趣,也可以自行去 Curl,或是去虚拟机执行上面的脚本。

    60130

    记一次 Linux 被变“矿机”全过程

    作案动机上面的计划任的意思就是每 15 分钟去上下载一个脚本,并且执行这个脚本。 写这个配置,自然也就是利用了 Redis 把缓存内容写本地文件的漏洞,结果就是用本地的私钥去登录被写公钥的了,无需密码就可以登录,也就是我们文章最开始的 root.sshauthorized_keys 登录之后就开始定期执行计划任,下载脚本。好了,配置文件准备好了,就开始利用 Masscan 进行全网扫描 Redis ,寻找肉鸡。 那么问题是,这台是怎么中招的呢?看了下 redis.conf,Bind 的地址是 127.0.0.1,没啥问题。 使用密码限制访问 Redis使用较低权限帐号运行 Redis到此,整个过程基本分析完了,如果大家对样本有兴趣,也可以自行去 Curl,或是去虚拟机执行上面的脚本。

    41230

    黑客新手仅需4小时

    外国媒体发表文章对云的安全性做了剖析,以下为文章内容摘要:需要多长时间? CloudPassage悬赏了5千美元邀请黑客们来尝试攻击。 最终其中一名黑客只花了4个小时就成功CloudPassage所配置的云。 更糟糕的是,他只是IT业的新手。 格雷在研究了上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。 他登录后,基本上从这一应用上获得了整个的管理权限,成功完成。格雷说,“我本以为尝试攻击会很困难很复杂,但我大感吃惊,原来只需通过假冒管理员就能够访问整个了。” 格雷表示,“我回到公司做的第一件事就是马上对计算机设置做了几处修改,确保类似的不会发生在我们公司中。”

    1.7K50

    如何linux?这几个命令够用了

    ,先看能不能编译 gcc -help当前目录就是shell的目录,我在shell上传2.c反弹shell 到外网自己机的12345端口上外网 本地监听 nc -lvvp 12345一般都能得到一个 arpsniffer -I eth0 -M 192.168.0.6 -W 192.168.0.4 -S 192.168.0.254下面开始欺骗,由于是端,因此我们欺骗网关:(网络环境如下,邮件 还是上传文件至shell所在目录,执行命令ls,发现文件已经躺在那里面了,之后赋予exp执行权限。 an |grep LISTEN |grep :80 查看端口service --status-all | grep runningservice --status-all | grep http查看运行 lsb_release -a 查看系统版本重启ssh :usrsbinsshd stopusrsbinsshd startssd_config文件里PasswordAuthentication no

    1.8K30

    做一次黑客,一次

    后来发现是docker远程,所以就利用docker远程和redis,模拟了一次自己的。 冯:那就对了,通过docker远程了你的,然后再利用masscan扫描其他的docker远程,然后进行。 之前只听过sql注、DDoS攻击。对于这种可以直接登录进行操作的还是第一次遇见,所以我就拿自己的实验一下,反正一会儿都要重装系统了。 docker远程 其原理是利用docker的远程,可以远程在靶机上起一个docker容,并将靶机.ssh目录挂载到容中,然后进docker的bash,直接将公钥写到authorized_keys 如图,创建并运行了一个容后,直接通过bash进了容。 写公钥,实现登陆 在容中,查看authorized_keys文件的内容。

    51974

    想要如何linux?这几个命令够用了

    ,先看能不能编译 gcc -help当前目录就是shell的目录,我在shell上传2.c反弹shell 到外网自己机的12345端口 上外网 本地监听 nc -lvvp 12345一般都能得到一个 arpsniffer -I eth0 -M 192.168.0.6 -W 192.168.0.4 -S 192.168.0.254下面开始欺骗,由于是端,因此我们欺骗网关:(网络环境如下,邮件 还是上传文件至shell所在目录,执行命令ls,发现文件已经躺在那里面了,之后赋予exp执行权限。 an |grep LISTEN |grep :80 查看端口service --status-all | grep runningservice --status-all | grep http查看运行 lsb_release -a 查看系统版本重启ssh :usrsbinsshd stopusrsbinsshd startssd_config文件里PasswordAuthentication no

    38110

    黑客新手4小时 敲响云安全警钟

    一个IT业的新手,只花了4个小时就成功了云,这给云安全敲响了警钟,那么,这个黑客新手是通过什么方法来的呢?为了确保云安全,应该采取哪些措施呢? 1. 他登录后,基本上从这一应用上获得了整个的管理权限,成功完成。 3. 12月20日消息,外国媒体发表文章对云的安全性做了剖析,以下为文章内容摘要: 需要多长时间? CloudPassage悬赏了5千美元邀请黑客们来尝试攻击。 最终其中一名黑客只花了4个小时就成功CloudPassage所配置的云。更糟糕的是,他只是IT业的新手。 他登录后,基本上从这一应用上获得了整个的管理权限,成功完成。 格雷说,“我本以为尝试攻击会很困难很复杂,但我大感吃惊,原来只需通过假冒管理员就能够访问整个了。”

    79860

    攻击者利用 Confluence 漏洞,Jenkins项目

    Jenkins 背后开发团队披露了一个安全漏洞,该漏洞是一个OGNL(对象导航图语言)注问题。 经过身份验证的攻击者可以利用该漏洞,在Confluence 和数据中心执行任意代码,攻击者在一台上部署了加密挖矿工具。 Jenkins 披露一个漏洞9月8日,据security affairs网站报道,Jenkins项目开发团队,在攻击者破坏了其内部一台并安装了加密货币挖矿工具后,披露了一个安全漏洞。 Jenkins 作为最流行的开源自动化,支持开发人员构建、测试和部署他们的应用程序。由 CloudBees 和 Jenkins 社区共同维护,在全球拥有超过 100 万用户。 事情发生后,Jenkins团队已将受影响的下线,并对安全事件展开调查。

    20330

    的教训

    今天一台突然停了,因为是阿里云的,赶紧去阿里云查看,发现原因是阿里云监测到这台不断向其他发起攻击,便把这台封掉了 明显是被做为肉鸡了 处理过程 (1)查看登陆的用户 通过 发现问题,定时任文件中有下面的内容 REDIS0006? 可以看到是被设置ssh免密码登陆了,漏洞就是redis 检查redis的配置文件,密码很弱,并且没有设置bind,修改,重启redis 删除定时任文件中的那些内容,重启定时 (6)把阿里云中云盾的监控通知项全部选中 通知手机号改为最新的手机号 (7)配置iptables,严格限制各个端口 总结教训 根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础 从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式 对的安全配置不重视 一直用默认端口、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视 网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故 这个教训分享给向我一样系统安全意识不高的管理者

    1K70

    排除命令

    排除命令 1. 检查网络ip link | grep PROMISC #正常网卡不该在promisc模式,可能存在snifferlsof -inetstat -pltu #TCPUDP端口检查arp -a #arp 检查计划任crontab -u root -l#查看指定用户是否有计划任cat etccrontab#查看计划任配置ls -l etccron. *#查看计划任创建的时间ls varspoolcron#查看计划任账号8. 检查系统chkconfigsystemctlrpcinfo -p #查看RPC(nfs)11.

    32910

    排查流程

    常见挖矿# 表象:CPU增高、可疑定时任、外联矿池IP。 Webshell# 表象:业侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源软件低版本造成(fastjson等)导致,# 通常为反弹shell、高危命令执行,同时存在内网、恶意程序传播、数据盗取等行为 内网# 表象:以的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。 # 告警:Hids(主要)、蜜罐、域控监控(ATA等)# 动作:确定边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭确认情况,# 方便后续批量处理,这个情况较为复杂后期单独写一篇文章 3.查询通过TCP、UDP连接的IP地址列表:netstat -ntu ,查询可疑连接:netstat -antlp 4.查询守护进程:lsof -p $pid 5.查询进程命令行:ps -aux

    38550

    文件排查

    一.简介环境: 资源是Nginx和php组成的,用户可以http:192.168.1.100one.jpg方式获取图片。只有负载均衡才有外网地址,并且防火墙只允许80端口访问。 起因: 早上10点半,在查看资源的文件目录时,发现多了一个pc.php,问了一圈发现没人知道这个文件。 2.查看2台资源的日志,查看负载均衡的也行。可以发现POST提交了脚本,GET去获取脚本,因为资源是安装了php的,访问pc.php,nginx会默认交给php-fpm去执行脚本。 通过删除这些东西和重做系统解决,这次危害较小,没有控制其它机,因为无法登陆,对方也没有提权到root登陆系统做更大危害,但也要注重安全。

    11920

    linux查询木马

    ,清理后重启,也把原来的SSH密码登陆改为公钥,仅仅过去两天,一早登陆发现一个进程直接懵了,清掉我ROOT所有文件。 明显不认识呐,我的跑了什么我还不知道?干掉!咦,干掉自己起来。明显是自启!!!查,etcrc.local12? 对比下其他在正常的显示如下: ?怒了有没有!明显换了。换成程序大小为1.2M的了。那就删掉被更改的,从其他同配置拷贝一份。记的拷贝过来要给予755 权限。1? 有:usrbinbsd-portgetty、usrbindpkgdpsusrbin.sshd12哈哈,清理了这些CPU立马从100%下来了。 加强自身安全 但是此时还不知道系统的原因,只能从两个方面考虑:暴力破解和系统及漏洞 a、yum update 更新系统(特别是bash、openssh和openssl) b、关闭一些不必要的

    2K41

    Linux安全检测基础

    一般的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、日志被恶意删除等。 那么既然是检测,首先要判断的是是否被,必须排除是管理员操作不当导致的问题,因此检测的第一项工作就是询问管理员的异常现象,这对之后类型的判断非常重要。 ?  在询问了相关异常信息,排除了管理员操作失误等原因后,那么便可以开始正式的上进行检测以及取证操作了。 查看著名的木门后门程序:九、检查网站后门  如果上运行着web程序,那么需要检查是否通过web漏洞,具体的判断方法可以结合分析中间件日志以及系统日志,但过程需要较长时间。 我们也可以通过检查上是否留有者放置的网站后门木马,以此判断黑客是否通过web应用

    34610

    当做挖矿肉鸡

    早上到公司发现zabbix有一个报警:一台的CPU使用率达到100%! 1.立即登录该查看CPU top10ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head发现 有一个yam开头的进程CPU已经占用 120%,(此处无截图) 经确认,并非业上的应用,凭经验分析,可以断定是被了。

    15220

    【教你搭建系列】(6)如何判断

    如果你买的是云,比如说腾讯云、阿里云这种,一旦你登录了你的,随后没有设置安全组、密钥、用户、IP,或者没有修改密码、默认端口,那么你的就很容易被,一般是被挖矿,或者被操控当做DDOS 可以说,只要你不设置安全组、防火墙,那么你的基本上就没了,别问我为什么知道,因为我的三台就是这么被黑掉的。 我经历过的三种被黑的情况:挖矿(目前也是最多的)DDOS(操控你的攻击其他网站)勒索(删库)本篇文章来介绍一些常见的排查方法。 1、宕机这个是最常见的,一般你的了,的进程就被杀死了,万一某一天你的网站打不开了,MySQL、Redis都挂了,基本上就是被黑了。 但还有一种情况是:者会隐藏挖矿进程,你使用top命令是无法显示这个挖矿进程的,这个就很脑壳痛了。----以上就是一些简单的排查方法,下一篇文章带你走进真实的被黑排查过程。

    9110

    记一次Linux变矿机

    0x00 背景周一早上刚到办公室,就听到同事说有一台登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。 0x02 作案动机上面的计划任的意思就是每15分钟去上下载一个脚本,并且执行这个脚本。我们把脚本下载下来看一下。 写这个配置,自然也就是利用了redis把缓存内容写本地文件的漏洞,结果就是用本地的私钥去登陆被写公钥的了,无需密码就可以登陆,也就是我们文章最开始的root.sshauthorized_keys 好了,配置文件准备好了,就开始利用masscan进行全网扫描redis,寻找肉鸡,注意看这6379就是redis的默认端口,如果你的redis的监听端口是公网IP或是0.0.0.0,并且没有密码保护 IP监听,包括0.0.0.0 2,使用密码限制访问redis 3,使用较低权限帐号运行redis到此,整个过程基本分析完了,如果大家对样本有兴趣,也可以自行去curl,或是去虚拟机执行上面的脚本。

    1.3K60

    APM - 零监控Service

    慢执行次数等等,以及根据监控结果触发某些告警等等 ,上述指标都是没有办法很灵活的采集到的----采集方案我们先来讨论下实现上述需求的方案硬编码AOPJavaAgent 字节码插桩那如何做到更灵活的实现代码零的实现 方案必然是第三种,使用字节码插桩实现Service的零监控----采集目标我们需要对哪些对象插桩呢?@Service注解 标注的类吗? 我们不知道统计哪个类,也不知道统计哪个方法 ,一切都是基于用户自主的配置----模型设计核心: 使用JavaAgent获取到用户配置的数据, 匹配(排除)后 使用javassist来修改字节码,进行插桩 ,插我们的监控逻辑 开始时间、用时、异常消息、异常类型、类名、方法名 ,当然了都是可以扩展的比如我们可以增加主机IP、应用名称、标识追踪ID等等简单起见,我们先不引过多的字段。 buildMethod(CtClass ctClass, CtMethod oldMethod) throws Exception { copy 一个方法 修改源方法名称 $agent 原方法中 插模板代码

    11020

    相关产品

    • FPGA 云服务器

      FPGA 云服务器

      腾讯FPGA云服务器是基于FPGA硬件可编程加速的弹性计算服务,您只需几分钟就可以获取并部署您的FPGA实例。结合IP市场提供的图片,视频,基因等相关领域的计算解决方案,提供无与伦比的计算加速能力……

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券