首页
学习
活动
专区
工具
TVP
发布

由于Redis后门漏洞导致服务器注入挖矿脚本解决过程

由于Redis后门漏洞导致服务器注入挖矿脚本解决过程 事件描述 某一天的早晨,我还是像往常一样搭着公交车开启打工仔的一天,一早8.30就到办公室了,坐着玩手机等上班,就这这时突然我组长飞快的回来办公室...,回来就说快看看阿里云后台服务,服务是不是挂掉了,我当时就纳闷了一大早的流量不大怎么就宕机了呢,不一会我组长收到了阿里云短信通知监测到恶意脚本,接下来就是脚本的查找 前期处理 首先是通过阿里云的控制台发现...-9 5724将进程kill了,并且把后台服务也启动了看似风平浪静,更加恐怖再后头 问题再现 但是好景不长过了30分钟作用开始有一个服务又突然宕机,接下来nginx也宕机了,我尝试启动服务,服务器启动失败...,我通过top发现我们服务器的CPU与内存居然满载了,估计是由于内存满载的原因导致我宕机服务无法重启 问题排除 再次发送以上的问题后,我开始对问题进行排除,我回想刚刚我明明把进程kill了,怎么还出现这个问题...居然不允许删除,估计还是老套路,继续使用lsattr查看文件属性,果然最后去除文件属性,成功rm了这个脚本文件 总结 最后经过百度发现newinit.sh是一种挖矿脚本,是通过6379端口接入走后门注入进来的

1.4K20

网站快照攻击怎么解决

大家都听说过黑客,知道他们的技术很牛,可以轻而易举就破坏一般的技术防护,让你的网站服务器瘫痪,他们会篡改数据进行非法活动,有些获取数据以后进行批量转卖,获取非法利益,还有些是以编写入侵系统为生,进行着违法的勾当...我说这是人家利用了你的网站数据后搜索引擎收录而留下的一个快照,快照是你的信息,打开却是违法信息,还有一种情况是快照是非法信息,而打开却是正常的网站信息,这种情况一般是网站挂马或者域名遭到了劫持,在你...site搜索某个网站域名的时候,发现标题描述关键词全部改掉了,点击以后会进入一个非法的网站页面,它替换掉了你搜索引擎收录的快照信息并做了跳转,如果你自己在浏览器地址栏输入网址进去,并不会发现问题的所在

1.8K20
您找到你想要的搜索结果了吗?
是的
没有找到

服务器攻击怎么处理

很多客户网站服务器入侵,攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站篡改,跳转,首页内容替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序...,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否攻击,那些篡改等等。...如何排查服务器攻击?...在我们处理客户服务器攻击的时候发现很多服务器的命令篡改,比如正常的PS查看进程的,查询目录的 cd的命令都给篡改了,让服务器无法正常使用命令,检查服务器安全造成了困扰。...对服务器的启动项进行检查,有些服务器植入木马后门,即使重启服务器也还是攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。

9.7K20

Linux服务器植入木马挖矿该怎么处理解决

很多客户网站服务器入侵,攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站篡改,跳转,首页内容替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序...,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否攻击,那些篡改等等。...如何排查服务器攻击?...在我们处理客户服务器攻击的时候发现很多服务器的命令篡改,比如正常的PS查看进程的,查询目录的 cd的命令都给篡改了,让服务器无法正常使用命令,检查服务器安全造成了困扰。...对服务器的启动项进行检查,有些服务器植入木马后门,即使重启服务器也还是攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。

5.6K30

网站打不开攻击怎么解决

,很有可能别人攻击,一旦攻击之后,有可能你的服务器会瞬间CPU标高,标高之后,整个服务器直接瘫了垮了,那我们到底应该怎么去防御这种情况。...一般你如果买到一些云服务器,它云服务器是有告警提示的,有人在经流量攻击情况下会直接瞬间把服务器免费防御5G的限额给超掉导致IP封,封掉之后客户端是无法防的,然后你后台需要解封,它会提示你让你去接入一些高防服务器...,这个高防服务器,可以说这个价格真的是相当贵,比我买服务器还贵,你正常买一个8核的服务器配置,可能一年几千块钱,但是你买个高防服务器,那一年最起码都是几万块钱的,因为正常的情况下,我们的客户端发送请求过来...IP直接告诉给了这个黑客,那黑客他直接打这个真实IP,导致你的真实IP带宽不足了,带宽不足之后瞬间导致正常用户和访问,所以我们就会在中间做一些高防服务器,高防服务器它会隐藏到我们的真实IP,那这样的话别别人再怎么打...,打的不是我们的服务器打的都是别人的高防服务器,而高防服务器会帮他做防御,所以一般情况下我们创业真的买服务器是不是最贵的,买高防服务器那才是最贵的,建议大家可以用CDN去阻挡DDOS攻击,如果还是无法抵御不住攻击的话可以向网站安全公司

2.8K30

网站墙了应该怎么解决

遇到网站墙,最好立刻解决问题,因为其影响可能会波及更大范围。例如,最初可能仅仅是网站域名墙,但是域名一直解析到某个IP的话,最终会导致整个IP墙。...而且,如果是因为网站有非法信息而域名墙,那么即使多次更换域名而不整改网络内容,网站仍有墙的危险。   ...并且第一时间使用IIS7网站监控来检测是不是真的发生了网站墙的情况,因为查询结果是实时的,所以会非常准确,当确定是真的墙之后,就看下面的方法。   ...解决方案:   (1)将被墙的域名搬到国内来,使用国内服务器,并且办理备案;   (2)服务器上绑定一个新域名,使用国内的转发服务器,将被墙的域名跳转到新域名上,通过设置301和全站转发,可以将原来域名的权重转移到新的域名上...关于域名墙,除了以上这些亡羊补牢的办法之外,从各方面的资料来看,目前域名墙基本无解,尤其是一些灰色地带的网站,除非用国内主机,因只要经过墙就会被重置,用国内主机的话,从国外访问会被重置。

6.9K20

数据库攻击 怎么解决

数据库攻击了,随即通过朋友介绍找到我们SINE安全公司,寻求安全解决,防止数据库攻击,篡改。 ?...关于数据库的安全设置,以及防止数据库攻击,如何查找攻击者,我们SINE安全跟大家详细的讲解一下: 目前常见的数据库攻击的特征分为,数据库root密码的弱口令攻击,以及sql注入攻击,数据库提权加管理员账户...对数据库进行管理等操作,网站的数据库调用账户使用普通权限账户,只有读写,增加删除等操作,没有管理员权限,时刻对数据库进行备份,设置数据库备份计划,每天,每小时都可以设置备份到指定的目录,如果使用的是阿里云的服务器建议开启阿里云的快照备份...,如果自己对数据库不是太熟悉的话,也不知该如何防止数据库攻击,建议找专业的网站安全公司来处理解决数据库篡改,删除的问题,像Sinesafe,绿盟那些专门做网站安全防护的安全服务商来帮忙。...再一个数据库的配置开启魔术模式,对sql注入的字符进行自动转义,防止sql注入攻击。

2.9K30

服务器入侵了怎么

下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近5年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教。...此时,为保护服务器和业务,避免服务器攻击者继续利用,应尽快歉意业务,立即下线机器; 如果不能立即处理,应当通过配置网络ACL等方式,封掉该服务器对网络的双向连接。...3.使用常见的入侵检测命令未发现异常进程,但是机器在对外发包,这是怎么回事?...4.getshell怎么办? 1、漏洞修复前,系统立即下线,用内网环境访问。 2、上传点放到内网访问,不允许外网有类似的上传点,有上传点,而且没有校验文件类型很容易上传webshell。...这次主要介绍了服务器入侵时推荐的一套处理思路。

2.8K30

域名墙是什么意思?墙域名怎么解决

,其中因为各种原因会造成各种情况,了解过网站的都知道有种叫做域名墙的网站,那么域名墙是什么意思?...墙域名怎么解决?下面小编就为大家来详细介绍一下。 image.png 域名墙是什么意思? 很多网站在使用过程中都会出现各种问题的,其中关于域名的问题就有很多,域名墙是什么意思呢?...首先大家要知道我国的互联网为了保护信息安全会在计算机中设置相应的防火墙,域名墙就是这个域名防火墙拦截了,会出现域名墙的原因有很多,这也是为了保护网站的安全。 墙域名怎么解决?...发生墙域名这种情况还是比较常见的,那么墙域名怎么解决呢?...相信大家看了上面的文章内容已经知道墙域名怎么解决了,域名使用过程中出现的问题还是蛮多的,所以大家如果想要域名正常使用的话,还是需要好好做网站的内容,不要去触犯我国的法律规范。

11.5K40

服务器挖矿木马攻击该怎么处理

,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,...对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器挖矿木马攻击的时候可以应急处理,让损失降到最低。 ?...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

4.1K20

服务器挖矿木马攻击该怎么处理

,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,...对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器挖矿木马攻击的时候可以应急处理,让损失降到最低。...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

2.9K10

网站攻击怎么办如何解决

很多公司的网站攻击,导致网站打开跳转到别的网站上去,网站快照也篡改,收录一些非法的内容快照,有些网站数据库都被篡改,修改了会员资料,数据库被删除,等等攻击症状,我们SINE安全在解决客户网站攻击的问题...并对其修复防止网站攻击呢?...,可以直接获取服务器的系统权限,通过SSH端口私钥登录。...安全风险极高,可以导致网站攻击,入侵。...还有一个是Memcached漏洞的查找,该软件也是默认安装到服务器里的,Memcached是高速缓存的系统,可以将缓存的数据写入到服务器内存里,一些经常用的数据,比如经常对数据库进行查询,写入,就可以使用这个缓存系统对其进行缓存到内存里

1.7K20

VULTR服务器解决方案

前言 今天由于某些特殊原因(不做过多解释),导致许多国内朋友服务器墙。具体表现为 ping不通,网站无法访问。 今天小文就教大家如何解决这个问题。...教程开始 服务器墙,ping不通,唯一解决方案是换一台能用的服务器。换服务器之前,你要是不想你的数据丢失,就得备份数据。...由于快照的缘故,新服务器的连接密码与旧服务器相同,所以之前你不保存旧服务器的连接密码,此时新服务器是无法连接的。...可用机房实时更新 2018年4月墙机房陆续恢复,建议日本机房 实战视频 云盘下载 在线播放(可能很慢) https://freed.ga/video/VULTR.mp4 误区纠正 1.我新建一台服务器岂不是又要扣费...答:出现这种情况的朋友多半是先删除了旧服务器然后新建的服务器解决办法为:先新建一台服务器,等新服务器IP分配好(此时IP绝对和旧服务器IP不通),再删除旧的服务器

6.9K40

VULTR服务器解决方案

前言 今天由于某些特殊原因(不做过多解释),导致许多国内朋友服务器墙。具体表现为 ping不通,网站无法访问。 今天小文就教大家如何解决这个问题。...教程开始 服务器墙,ping不通,唯一解决方案是换一台能用的服务器。换服务器之前,你要是不想你的数据丢失,就得备份数据。...4.善后处理 服务器按小时扣费,此时删除原来的服务器即可停止计费(Destroy) 由于快照的缘故,新服务器的连接密码与旧服务器相同,所以之前你不保存旧服务器的连接密码,此时新服务器是无法连接的。...可用机房实时更新 2018年4月墙机房陆续恢复,建议日本机房 实战视频 云盘下载 误区纠正 1.我新建一台服务器岂不是又要扣费5美元?...答:出现这种情况的朋友多半是先删除了旧服务器然后新建的服务器解决办法为:先新建一台服务器,等新服务器IP分配好(此时IP绝对和旧服务器IP不通),再删除旧的服务器

8.2K90

服务器负载率过高怎么解决

宝塔的负载状态图表中百分比的含意: 50% 以下  –  此时服务器正以低负载状态运行 50 ~ 90%  – 服务器负载正常,用户的请求可以及时得到服务器响应 90% ~ 100% – 表示服务器资源已耗尽...1、带宽不足:服务器攻击或者高频访问流量涌入都可能导致网站带宽不足出现网站卡的情况。 2、内存不足:运行的程序或者数据库可能太大,我们的服务器太小,都可能导致我们内存不足使得服务器卡顿。...3、CPU负载过高100%:程序错误或者运行数据量过大都可能导致CPU负载高而导致服务器卡顿。 4、硬盘满了:硬盘满了会导致服务器卡死,可能连远程连接都无法登录。也会引发服务器负载过高情况。...服务器负载过高怎么解决? 1、针对带宽不足的情况我们可以增加带宽,如果带宽足够,是因为服务器攻击的情况,建议可以使用软件进行应对。...4、硬盘满了建议对接服务器供应商扩容,如果进不去服务器可以到供应商选择内网访问,通过SHH登陆后进行删除部门无用资料,然后在进行访问。

3K40

网站安全对植入webshell后门 该怎么解决

阿里云解决方案:请及时排查WWW目录下是否存在WEBSHELL,并及时清除。...看到阿里云给的木马路径以及解决方案,随即登陆客户的linux服务器,查看到www目录下确实多出一个indnx.php的文件,用SFTP下载下来这个文件并打开,看到是一些加密的代码,一看就是木马代码,如下图...一般都是网站存在漏洞,攻击者利用上传了webshell的,像网站的上传漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺骗漏洞,远程代码执行漏洞,远程包含漏洞,PHP解析漏洞,都会被上传网站木马,我们SINE...3.对网站的漏洞进行修复,检查网站是否存在漏洞,尤其上传漏洞,以及SQL注入漏洞,严格过滤非法参数的输入。...如果您的网站一直阿里云提示webshell,反复多次的那说明您的网站还是存在漏洞,如果对网站漏洞修复不是太懂的话,可以找专业的网站安全公司来解决阿里云webshell的问题。

3.6K11

服务器植入挖矿木马cpu飙升解决

排查过程 我以 150+ 的手速立即打开了服务器,看到 Tomcat 挂了,然后顺其自然的重启,启动过程中直接 killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。...解决办法 找到寄生的目录,一般都会在 tmp 里,我这个是在 /var/tmp/。首先把 crontab 干掉,杀掉进程,再删除产生的文件。启动 Tomcat 等程序,大功告成!...等等,这远远不够,考虑到能拿去挖矿的前提下你的服务器都已经被黑客入侵了,修复漏洞才对,不然你杀掉进程删掉文件后,黑客后门进来 history 一敲,都知道你做了啥修复手段。...遇到挖矿木马最好的解决方式:将主机镜像、找出病毒木马、分析入侵原因、检查业务程序、重装系统、修复漏洞、再重新部署系统。

2.1K10
领券