我被攻擊了

個(gè)人服務(wù)器去年底最后兩天被攻擊了，因?yàn)橐恍┦虑橥现鴽](méi)來(lái)得及處理，今天實(shí)在忍不住了，記錄一下被攻擊后發(fā)現(xiàn)以及修復(fù)的過(guò)程。

2019-12-30 23:39:44 云盾預(yù)警訪問(wèn)惡意IP 178.170.189.5

這一次預(yù)警中有一個(gè)關(guān)鍵字“kdevtmpfsi”

2019-12-31 04:19:19 云盾預(yù)警礦池通信行為 178.170.189.5

kdevtmpfsi

如何找到根源

kdevtmpfsi 偽裝的挺好，因?yàn)樗鸵粋€(gè)系統(tǒng)進(jìn)程的名字非常相似 kdevtmpfs ，一不小心研究的重心就偏移了。我現(xiàn)在的程序是以 docker 運(yùn)行的，宿主機(jī)如果被攻擊了問(wèn)題就嚴(yán)重了。

因?yàn)楸旧聿皇菍I(yè)運(yùn)維，排雷全靠猜測(cè)。云盾感知的 cms 可能存在安全漏洞，代碼掃描后沒(méi)有發(fā)現(xiàn)異常，到這里我感覺(jué)問(wèn)題可能就更嚴(yán)重了。

容器存在漏洞？容器也就運(yùn)行了 nmp，會(huì)是哪一個(gè)容器出現(xiàn)問(wèn)題了呢？有些手足無(wú)措。cpu 占用高，docker 查看一下容器的 cpu 占用呢？

top

使用 top 命名直接可以查看到下圖，kdevtmpfsi 差不多100%的CPU占用，導(dǎo)致服務(wù)器完全被惡意程序占用，我本身的服務(wù)難以正常運(yùn)行。

container

cpu 被 kdevtmpfsi 挖礦程序占用 100%。按照上面的定位到容器的問(wèn)題，使用命令查看容器狀態(tài) docker stats 獲得下圖。

看到是 redis 容器被利用了，使用命令 docker exec -it 容器ID /bin/bash 進(jìn)入內(nèi)部看看具體問(wèn)題呢？CTRL+P+Q

使用命令 ls -lrt 可以看到最早下載的 kinsing 文件是去年30日，與最早告警時(shí)間也基本在同一天。通過(guò)搜索學(xué)習(xí)到這個(gè)文件是挖礦程序的手續(xù)進(jìn)程，后續(xù)需要清理掉。

按照云盾報(bào)警的情況我們看下文件是否存在 /tmp/kdevtmpfsi ，如果存在也需要清理掉才行。文件肯定是存在的，我還干了一件事情就是 kill -9 ID，CPU 占用明顯就降下來(lái)了 ，然后手動(dòng)運(yùn)行了一下這個(gè)程序，發(fā)現(xiàn) CPU 直接就飆升了

它是如何做到的

問(wèn)題找到了，只要?dú)⒌舢?dāng)前進(jìn)程以及守護(hù)進(jìn)程，問(wèn)題也就暫時(shí)解決了。沒(méi)有找到根源，問(wèn)題還是可能被利用，繼續(xù)寫(xiě)入挖礦程序，我們先思考一下漏洞在哪里呢？

上面分析出來(lái)是因?yàn)?redis 的漏洞導(dǎo)致的？想一下我們的 redis 是如何安裝的，我當(dāng)初測(cè)試一個(gè)需要登錄才能使用的應(yīng)用程序，登錄的方式是關(guān)注公眾號(hào)，然后獲取授權(quán)碼去解鎖使用。就使用 redis 存放了臨時(shí) token ，安裝 redis 的時(shí)候直接就是裸奔在空氣中，沒(méi)有密碼。

可以使用命令檢測(cè)一下，例如我的公網(wǎng) IP 是 110.110.110.110。 只需要使用命令 redis-cli -h 110.110.110.110 -p 6379 就直接可以連上我的 redis 服務(wù)了。

通過(guò)云盾安全預(yù)警查看到《【漏洞預(yù)警】Redis 4.x/5.x 遠(yuǎn)程命令執(zhí)行高危漏洞》，解決這個(gè)問(wèn)題的關(guān)鍵可以設(shè)置僅內(nèi)網(wǎng)訪問(wèn) redis，特殊對(duì)外的 IP 使用密碼策略。

version: '3'

services:

# 使用 command 命令設(shè)置一下密碼

redis:

image: redis:5.0.7

command: ["redis-server", "--requirepass", "yourpassword"]

hostname: redis

networks:

- redis-net

volumes:

- redis-data:/data

networks:

redis-net:

volumes:

redis-data:

安全放心上

長(zhǎng)呼一口氣之后，想起了《亡羊補(bǔ)牢》的故事。

關(guān)于找一找教程網(wǎng)

本站文章僅代表作者觀點(diǎn)，不代表本站立場(chǎng)，所有文章非營(yíng)利性免費(fèi)分享。

本站提供了軟件編程、網(wǎng)站開(kāi)發(fā)技術(shù)、服務(wù)器運(yùn)維、人工智能等等IT技術(shù)文章，希望廣大程序員努力學(xué)習(xí)，讓我們用科技改變世界。

[我的大腦被挖礦代碼搞的不能好好思考了]http://www.zyiz.net/tech/detail-98981.html

總結(jié)

以上是生活随笔為你收集整理的java 挖矿代码_我的大脑被挖矿代码搞的不能好好思考了的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。