昨天晚上发现也中招了,安装了个redis用于测试,并未含有任何服务。另外还包含了ssh暴力破解攻击。

Nov 11 00:09:50 localhost sshd[6632]: Failed password for root from 221.203.142.71 port 62962 ssh2

处理办法是禁止ip,用fail2ban,或者denyhosts

容易遭受入侵的环境

用户自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 6379 的 Redis 端口

入侵现象

  • Redis 可能被执行过 flushall 命令
  • Redis 内建了名为 crackit 的 key
  • Redis 的 dir 参数指向了 /root/.ssh
  • /root/.ssh/authorized_keys 被覆盖或者包含 Redis 相关的内容

修复办法

  • 以非 root 权限启动 Redis
  • 增加 Redis 密码验证
  • 禁止公网开放 Redis 端口, 例如可以在青云防火墙上禁用 6379 Redis 的端口
  • 检查 authorized_keys 是否非法

分析
前几天官网博客已经有说明了http://antirez.com/news/96
详细分析 http://static.nosec.org/download/redis_crackit_v1.0.pdf

主要是公网,未绑定本地或者验证。其实mongodb默认也一样。提供服务的环境一定要注意安全措施。


ccj 于 2015-11-11 22:05 修改
0 回复
需要 登录 后方可回复, 如果你还没有账号你可以 注册 一个帐号。