我是 printf520 提供今日热榜 API 的博主, Redis 感染了自动化挖矿蠕虫。目前已经修复

2019-07-19 12:16:56 +08:00
 timeromantic

首先谢谢发帖告知我 API 感染挖矿病毒的 V 友。 @zpfhbyx

事情围观: https://www.v2ex.com/t/584216#reply23 api 文档: https://www.v2ex.com/t/578957#reply6

目前已经做了修复处理

感染原因如下:

Redis 默认情况下,会绑定在 0.0.0.0:6379,在没有利用防火墙进行屏蔽的情况下,将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下利用 Redis 的相关方法,可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接登录目标服务器;如果 Redis 服务是以 root 权限启动,可以利用该问题直接获得服务器 root 权限。

经过对捕获的事件进行分析,整个入侵流程大概是包含以下几个环节:

Redis 服务加固

8888 次点击
所在节点    程序员
52 条回复
timeromantic
2019-07-19 12:32:52 +08:00
@zpfhbyx 谢谢告知
ResetTrap
2019-07-19 12:57:25 +08:00
redis 不是默认 127.0.0.1:6379 吗
cmlanche
2019-07-19 13:00:24 +08:00
我的站的 redis 也被入侵了,开防火墙,重启下服务器就好了
IsaacYoung
2019-07-19 13:05:34 +08:00
🐂🍺
shmilypeter
2019-07-19 13:06:25 +08:00
谢谢告知,我打算好好研究下你的项目
timeromantic
2019-07-19 13:06:37 +08:00
@cmlanche 嗯,是的,已经做了相关的处理
timeromantic
2019-07-19 13:07:47 +08:00
@ResetTrap 127.0.0.1 只是你本地地址
laoyur
2019-07-19 13:09:16 +08:00
redis 漏洞都爆出多久了
nihaoaa
2019-07-19 13:10:04 +08:00
学到了
ResetTrap
2019-07-19 13:13:12 +08:00
@timeromantic #7 与此无关,redis 的默认配置是监听 127.0.0.1,除了本机是不能连接的,你肯定是把配置文件改成 0.0.0.0 了
1iuh
2019-07-19 13:18:04 +08:00
什么时候被入侵,持续时间多久,期间 API 被调用多少次不披露一下么?
chenqh
2019-07-19 13:20:25 +08:00
这种端口默认不是不开启的吗,在安全组那里
timeromantic
2019-07-19 13:22:12 +08:00
@1iuh 昨天下午入侵的,持续时间为零,redis 跑在 docker 没有影响到主机
1iuh
2019-07-19 13:22:30 +08:00
另外,为什么你服务器被挂的挖矿程序会影响你 API 的返回数据?
timeromantic
2019-07-19 13:26:09 +08:00
api 返回的 sort 值是 redis 存的知乎点击量,病毒是把知乎的 key 设置成他的挖矿脚本了。我获取 sort 就带出来了
timeromantic
2019-07-19 13:27:02 +08:00
@1iuh api 返回的 sort 值是 redis 存的知乎点击量,病毒是把知乎的 key 设置成他的挖矿脚本了。我获取 sort 就带出来了
RicardoY
2019-07-19 13:27:28 +08:00
redis 默认情况下绑在 127.0.0.1 的呀
timeromantic
2019-07-19 13:28:24 +08:00
@RicardoY 跑在 redis 里面的一个容器,外网能访问到
@ResetTrap
ResetTrap
2019-07-19 13:29:51 +08:00
@timeromantic #18 那就是你操作问题了,相当于 0.0.0.0 了,这种方式很不推荐的
timeromantic
2019-07-19 13:32:07 +08:00
@RicardoY redis 是跑在 docker 里面的一个容器,外网能访问到
@ResetTrap

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/584369

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX