设为首页收藏本站

LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区!

 找回密码
 注册

QQ登录

只需一步,快速开始

#公告#抱歉,网站将关闭,不再开放。由于PC时代已远逝 。在这个后移动互联网时代,我们继续携手前行,保持对技术的热情。共同构建linuxtone知识星球欢迎加入,一起讨论技术、招聘人才、分享资源。请新老linuxtone人 扫码移步到 知识星球:linuxtone

学习是一种信仰!分享是一种快乐!能力= 心态 * 沟通 * 知识 (你的每一天需要正能量!)

 网站的发展需要你贡献一份力量!希望你能每天坚持看贴1小时,并回答网友的问题!祝你在浏览论坛的过程中取得进步!谢谢!linuxtone加油!大家加油! 友情提示: 你今天学习了吗?你今天进步了吗?少一点抱怨!多一点进步!Life is short ! Why not linuxtone ?  

网站的发展、感谢每位坛友的努力!

查看: 35569|回复: 3

[业内动态] redis crackit安全事件分析 [复制链接]

Rank: 6Rank: 6

签到
24
注册时间
2015-9-28
最后登录
2016-3-25
在线时间
10 小时
阅读权限
70
积分
2724
帖子
8
主题
6
精华
0
UID
45665
发表于 2015-11-11 18:42:15 |显示全部楼层
本帖最后由 牛盾云加速 于 2015-11-11 18:19 编辑

11月9日早上10点多我们收到几台客户服务器的安全监控系统告警,发现几台系统公钥文件被篡改,随后进行安全事件分析处理。在分析过程中我们发现了某黑客组织利用redis设计缺陷的攻击痕迹。考虑到攻击方式简单但影响极大,我们对此次安全事件做了进一步分析,发现这是针对全球互联网的全网性入侵事件。如果您的linux服务器上运行的redis没有设置密码,很可能已经受到了此次安全事件影响。结果将导致:redis数据丢失,服务器的ssh公钥被替换。

我们就此次安全事件预警式的针对全球6379端口的redis服务器做了扫描,结果如下图:

如图开放在公网的redis的6379端口的ip总数有63443个。无密码认证的IP有43024个,在总数占比里达到67%。发现遭受到redis crackit事件影响的服务器达到35024,在总数占比中达到55%,在无密码认证的redis数量中占比达到81%左右。

事件描述
很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。

还原攻击过程
寻找无验证的redis服务:


制作SSH密钥和公钥:


把公钥内容写入foo.txt:


把SSH公钥写入redis:


覆盖系统用户原来的SSH公钥:


通过SSH登入服务器:



修补加固建议
  • 环境安全:
    无需外网访问的可以绑定本地回环
    需要对外的增加ACL进行网络访问控制
    可以借用stunnel等工具完成数据加密传输
  • 给redis设定密码
  • 创建单独的nologin系统账号给redis服务使用
  • 禁用特定命令
  1. rename-command CONFIG ""
复制代码

Rank: 8Rank: 8

注册时间
2011-9-16
最后登录
2020-3-29
在线时间
959 小时
阅读权限
90
积分
269345
帖子
2158
主题
2
精华
0
UID
15647
发表于 2015-11-12 09:01:54 |显示全部楼层
感谢楼主分享!

使用道具 举报

Rank: 6Rank: 6

注册时间
2013-9-23
最后登录
2016-4-18
在线时间
30 小时
阅读权限
70
积分
7485
帖子
2
主题
0
精华
0
UID
39737
发表于 2015-11-12 14:55:24 |显示全部楼层
我也遇到了,但是我这台机器redis服务是设置了防火墙的,禁止外网访问的,怎么还被攻击了呢?

使用道具 举报

Rank: 6Rank: 6

注册时间
2015-9-28
最后登录
2016-3-25
在线时间
10 小时
阅读权限
70
积分
2724
帖子
8
主题
6
精华
0
UID
45665
发表于 2015-11-12 17:39:51 |显示全部楼层
begin 发表于 2015-11-12 14:55
我也遇到了,但是我这台机器redis服务是设置了防火墙的,禁止外网访问的,怎么还被攻击了呢? ...

建议检查防火墙策略是否有缺陷,然后检查下内网安全性以及相关业务安全性。黑客可能在内网连接去攻击,或者通过http等方式注入。

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

IT运维专家网感谢您的支持

合作联系: QQ:67888954/MSN:cnseek@msn.com/mail:netseek@linuxtone.org

Archiver|手机版|感谢所有关心和支持过LinuxTone的朋友们 转载本站内容请注明原作者名及出处 ( 京ICP备08103151 )   |

GMT+8, 2020-3-30 02:01 , Processed in 0.023136 second(s), 14 queries , Apc On.

Powered by Discuz! X2 Licensed

© 2001-2011 Comsenz Inc.

回顶部