11 月 9 日早上 10 点多我们收到几台客户服务器的安全监控系统告警,发现几台系统公钥文件被篡改,随后进行安全事件分析处理。在分析过程中我们发现了某黑客组织利用 redis 设计缺陷的攻击痕迹。考虑到攻击方式简单但影响极大,我们对此次安全事件做了进一步分析,发现这是针对全球互联网的全网性入侵事件。如果您的 linux 服务器上运行的 redis 没有设置密码,很可能已经受到了此次安全事件影响。结果将导致: redis 数据丢失,服务器的 ssh 公钥被替换。
我们就此次安全事件预警式的针对全球 6379 端口的 redis 服务器做了扫描,结果如下图:
如图开放在公网的 redis 的 6379 端口的 ip 总数有 63443 个。无密码认证的 IP 有 43024 个,在总数占比里达到 67%。发现遭受到 redis crackit 事件影响的服务器达到 35024 ,在总数占比中达到 55%,在无密码认证的 redis 数量中占比达到 81%左右。
很多使用者都是把 redis 下载到服务器直接运行使用,无 ACL ,无密码, root 运行,且绑定在 0.0.0.0:6379 ,暴露在公网。攻击者在未授权访问 Redis 的情况下通过 redis 的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。
寻找无验证的 redis 服务:
制作 SSH 密钥和公钥:
把公钥内容写入 foo.txt :
把 SSH 公钥写入 redis :
覆盖系统用户原来的 SSH 公钥:
通过 SSH 登入服务器:
禁用特定命令
rename-command CONFIG ""
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.