文档章节

redis crackit安全事件分析

牛盾云安全
 牛盾云安全
发布于 2015/11/11 17:42
字数 748
阅读 32
收藏 0

11月9日早上10点多我们收到几台客户服务器的安全监控系统告警,发现几台系统公钥文件被篡改,随后进行安全事件分析处理。在分析过程中我们发现了某黑客组织利用redis设计缺陷的攻击痕迹。考虑到攻击方式简单但影响极大,我们对此次安全事件做了进一步分析,发现这是针对全球互联网的全网性入侵事件。如果您的linux服务器上运行的redis没有设置密码,很可能已经受到了此次安全事件影响。结果将导致:redis数据丢失,服务器的ssh公钥被替换。


我们就此次安全事件预警式的针对全球6379端口的redis服务器做了扫描,结果如下图:

 

如图开放在公网的redis6379端口的ip总数有63443个。无密码认证的IP43024个,在总数占比里达到67%。发现遭受到redis crackit事件影响的服务器达到35024,在总数占比中达到55%,在无密码认证的redis数量中占比达到81%左右。

 

事件描述

很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。

 

还原攻击过程

寻找无验证的redis服务:

 

制作SSH密钥和公钥:

 

把公钥内容写入foo.txt

 

SSH公钥写入redis

  

覆盖系统用户原来的SSH公钥:

 

通过SSH登入服务器:

 

 

修补加固建议

1      环境安全:

  • 无需外网访问的可以绑定本地回环

  • 需要对外的增加ACL进行网络访问控制

  • 可以借用stunnel等工具完成数据加密传输

2      redis设定密码

3      创建单独的nologin系统账号给redis服务使用

4      禁用特定命令

      rename-command CONFIG ""


© 著作权归作者所有

共有 人打赏支持
牛盾云安全
粉丝 1
博文 3
码字总数 5943
作品 0
东城
Redis SSH 漏洞修复方法

一、前言 前段时间,在做内网影响程度评估的时候写了扫描利用小脚本, 扫描后统计发现,内网中60%开放了redis6379端口的主机处于可以被利用的危险状态,因为都是一些默认配置造成的 考虑到本...

苗雨顺
2016/08/26
58
0
Redis安全规范----check list

Redis安全规范—-check list. 1.信任的内网运行,尽量避免有公网访问 在/etc/redis/redis.conf中配置如下:bind 127.0.0.1 2.绑定redis监听的网络接口 如果服务器有多个IP,可限定redis serve...

Tar0
06/26
0
0
Redis 未授权访问缺陷可轻易导致系统被黑

Sebug 公布了 Redis 未授权访问缺陷的详细漏洞信息,这个 Redis 未授权访问缺陷可轻易导致系统被黑。详细内容请看下文: 漏洞概要 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Red...

奔跑的阿飞
2017/09/05
0
0
Redis 未授权访问缺陷可轻易导致系统被黑

Sebug 网站公布了 Redis 未授权访问缺陷的详细漏洞信息,这个 Redis 未授权访问缺陷可轻易导致系统被黑。详细内容请看下文: 漏洞概要 Redis 默认情况下,会绑定在0.0.0.0:6379,这样将会将R...

oschina
2015/11/12
18.7K
29
BUF早餐铺 苹果推出安全新功能;Facebook API被设备制造商利用获取用户数据;本田印度泄露超过五万名用户隐私;央行称金融业务更要高度重视网络和信息安全

     黄梅时节家家雨,青草池塘处处蛙。有约不来过夜半,闲敲棋子落灯花。      各位 Buffer 早上好,今天是 6 月 6 日星期三,农历四月廿三,芒种节气。今天份的 BUF 早餐内容主要有...

FreeBuf
06/06
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

php 使用redis锁限制并发访问类

1.并发访问限制问题 对于一些需要限制同一个用户并发访问的场景,如果用户并发请求多次,而服务器处理没有加锁限制,用户则可以多次请求成功。 例如换领优惠券,如果用户同一时间并发提交换领...

豆花饭烧土豆
12分钟前
0
0
Linux环境搭建 | 手把手教你配置Linux虚拟机

在上一节 「手把你教你安装Linux虚拟机」 里,我们已经安装好了Linux虚拟机,在这一节里,我们将配置安装好的Linux虚拟机,使其达到可以开发的程度。 Ubuntu刚安装完毕之后,还无法进行开发,...

良许Linux
14分钟前
0
0
Nginix开启SSL支持HTTPS访问(自签名方法)

Nginix开启SSL支持HTTPS访问(自签名方法) 超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器...

openthings
30分钟前
0
0
(三)Nginx配置·续

概述 前文写了关于Nginx环境配置,但是还没有完,接下来将会继续讲三个相关的配置 主要是以下三个 1.Nginx访问日志 2.Nginx日志切割 3.静态文件不记录日志和过期时间 Nginx访问日志 1.先看看...

杉下
今天
1
0
jquery创建类似于java的map

var map = {}; // Map map = new HashMap(); map[key] = value; // map.put(key, value); var value = map[key]; // Object value = map.get(key); var has = key in map; // boolean has = ......

SuperDabai
今天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部