Redis教程

redis对外攻击处理排查思路

本文主要是介绍redis对外攻击处理排查思路,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

解决带宽占用高(被入侵导致redis对外攻击)

上机前:

查询服务器是否遭受ddos,是否有违规,

cpu,内存监控丢失

带宽监控未丢失但是异常跑高

现场环境:
 ssh不可连接,无法登录 

服务器上服务崩溃

login 报错密码不正确


解决步骤:
1.因为这个密码报错不正确,后台重置密码后登录到服务器(这个不具体解释怎么操作的)

2.本身使用外部的监控就看到了这个带宽异常的占用,本身是1mbps,但是拉到了5mbps。top查看没有相关的cpu占用但是ni100%。

3.定位下载iftop  查看平均的均值达到了4.26Mbps 用户本身购买的这个为1Mbps 跑超了太多,但是iftop上没有相关的占用进程。

4.由于没有相关的占用信息,习惯性的用了  nstetat -ant  查看大量的占用了6379端口,通过lsof -i:6379,定位到这个pnscan这个进程,
find / -name pascan  找到了这个pascan的目录,直接chmod 000 文件位置  再次查看top ni正常了,但是测试这个iftop带宽的使用还是居高不下,ssh也不能正常使用

 

 

 

 

5.再次这个netstat -ant 查看发现还有一个这个1444占用,通过lsof -i:1444 查到了这个进程名,以及pid。 查询到pid后根据pid定位到位置,然后chmod 000所有的病毒文件。(具体进程名,熟悉排查杀毒的兄弟的话,估计一眼就看出来是个病毒程序了,因为这个本身是下午上机杀毒,晚上回来写有些许模糊)

6.iftop查看带宽还是占用极高,后来一想本身已经连接在服务器的,我现在通过这个改变文件权限让病毒程序无法正常运行,链接没有去除,重启服务器。
恢复正常,观察30分钟无复发,ssh正常连接,再从外部监控去看,带宽占用也恢复正常

 

 

根据排查的场景不同,他还是有一些区别的,这个如果直接使用busybox/top的话估计定位也会很快,但是busybox要下,想了想算了,一步步来吧

 

这篇关于redis对外攻击处理排查思路的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!