服务器对外暴露 Redis 6379 端口并无鉴权,能执行命令吗?

2023-03-22 13:46:31 +08:00
 uiosun

自己的 4H8G 小菜鸡,一周前,图方便直接对 0.0.0.0/0 暴露 6379 ,然后今天上去看缓存,发现有 backup1 这样的缓存。

四个 string key ,里面分别存储了:

  1. wget 从某个链接获得 shell 文件,并执行 shell 文件
  2. bash + base64 反转,以 root 进行提权
  3. bash + base64 反转,以 root 设定 CRON 任务
  4. bash + base64 反转,以 root 设定另一个 CRON 任务

Redis 本身处于容器,且是最新版。

查看了服务器的七日监控,没有任何 CPU/RAM/IO 剧烈波动,与往常一致。

进入系统层面 Cron 的 /var/spool/cron/* 目录,都没有新的 CRON 任务。

想请教一下各位大佬,这样的四条命令,在我只有这个端口暴露时,能干啥?


(我对攻防不是很了解,所以特地来请教一下。而且,每天都有人扫各种 IP 的各种端口吗……我对于这么快就被写入命令到缓存,感到害怕 😂)

3961 次点击
所在节点    程序员
26 条回复
fengjianxinghun
2023-03-22 13:49:28 +08:00
docker 跑的 redis 大概率没事
vagusss
2023-03-22 13:50:15 +08:00
还是加个密码吧
uiosun
2023-03-22 13:51:06 +08:00
@vagusss 加一个,正在找目前版本的 Redis 配置,真的太刺激了,害怕
uiosun
2023-03-22 13:51:59 +08:00
@fengjianxinghun 希望没事,目前也没发现问题,但不懂就不安心,来请教各位,太刺激了😂
zhongjun96
2023-03-22 13:54:16 +08:00
简单就是利用 redis 的 config set 可以生成文件,上传密钥,就能连上你的机子了
uiosun
2023-03-22 14:03:57 +08:00
@zhongjun96 芜湖!懂了懂了,感谢大佬
8355
2023-03-22 14:13:12 +08:00
@zhongjun96 #5 专业
GuryYu
2023-03-22 14:32:57 +08:00
@zhongjun96 #5
咨询一下大佬,如果攻击者攻击的是 docker 容器内的 redis 服务,且容器只对宿主机和公网开放了 6379 端口
通过这种方式上传的密钥还能被远程攻击者连接上服务器吗
keller
2023-03-22 14:56:54 +08:00
密钥是在容器里面,容器又没暴露 22 端口 他连个锤子
datou
2023-03-22 14:59:03 +08:00
@GuryYu docker 里不开 ssh 就没戏
0x535
2023-03-22 15:25:56 +08:00
试了一下 #5 的方法,redis 5.0 的可以成功,6.0 以后就限制了 dir 等重要配置的修改了。
Oktfolio
2023-03-22 16:07:46 +08:00
http://en2an.top/cleanfda/init.sh
这个东西吧?我们生产环境中了
hanyu2pomelo
2023-03-22 16:19:57 +08:00
去年公司被端口扫描种了挖矿,就是通过 redis 这种
sunmlight
2023-03-22 16:29:26 +08:00
@GuryYu 加层验证没坏处, 万一又通过 docker 漏洞穿透到你宿主机呢
ak47007
2023-03-22 16:31:42 +08:00
去年我的服务器也开了 redis 默认端口,无密码,后面被人挖矿了
Va1n3R
2023-03-22 16:35:24 +08:00
@keller 送你一句话:"弱小和无知不是生存的障碍,傲慢才是"
@datou @GuryYu
#5 说过这是最简单的方案,复杂一点的有:
1. 写入 Crontab 文件从而定时执行恶意命令,无需 ssh 端口开放。
2. 利用 Redis 主从同步,无损写入二进制文件,利用手法:加载恶意模块,劫持系统 SO/DLL 等。
onemorechance
2023-03-22 16:43:16 +08:00
redis 未授权访问攻击方法了解一下
oneisall8955
2023-03-22 16:53:36 +08:00
印象新版本,通改配置+ ssh public key 漏洞已经没有了
oneisall8955
2023-03-22 16:54:20 +08:00
还是通过配置禁用修改配置的,总是印象,记不清🐶
chengong
2023-03-22 16:54:45 +08:00
随时随地 随随便便都提权你的服务器用来挖矿。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/926166

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX