Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
Andy1999
V2EX  ›  程序员

Redis 未授权访问配合 SSH key 登录已中枪

  •   
  •   Andy1999 · Nov 11, 2015 via iPhone · 5248 views
    This topic created in 3859 days ago, the information mentioned may be changed or developed.
    事先申明:
    1. 这台服务器开着的 Redis 为空密绑定到公网但是无任何应用
    2. 本身是 SSH KEY 登录的 不存在密钥错误问题

    很惨,我刚黑掉别人的一台 Redis 服务器然后想上自己的服务器改点文件
    随后发现 SSH 连不上 报错 Key 不对(之前肯定正确)

    想了一下怀疑和之前爆出的 Redis 空密码登录 VPS 有关。
    为了验证自己的猜想,执行了 redis-cli -h ip
    我最怕的事情发生了 果然是空密并且监听在公网 IP 上。

    总结:
    想了一下为什么会发生这样的问题,原来是上次测试完 Redis 在服务器上的性能 Drop 了数据库但没关掉进程导致被黑
    处理方案:
    VNC 重新分发了私钥下去,可以登录
    并且我已经将所有测试机都添加了 nologin 用户, bind 127.0.0.1 以及加密

    这个事件告诉我们,千万别在公网上做这么不安全的事情,说不准你就被黑了!
  • Redis
  • ssh
  • 空密
  • key
    26 replies    2015-11-12 18:46:14 +08:00
    humiaozuzu
        1
    humiaozuzu  
       Nov 11, 2015
    看到公网 ip 了,不担心被 D 吗 = =
    nlzy
        2
    nlzy  
       Nov 11, 2015 via iPhone
    这个故事告诉我们
    服务不要用 root 跑
    服务器不要开放所有端口
    Andy1999
        3
    Andy1999  
    OP
       Nov 11, 2015 via iPhone
    @humiaozuzu 感谢提醒 已换内网


    @nlzy 现在坑惨了 我替换了私钥都登不上去
    kendetrics
        4
    kendetrics  
       Nov 11, 2015
    “我刚黑掉别人的一台 Redis 服务器”

    扑通,大神你还收徒么
    skydiver
        5
    skydiver  
       Nov 11, 2015
    redis 有什么漏洞?
    forever139
        6
    forever139  
       Nov 11, 2015
    昨天就已经发现 redis 里面存了一个 crackit 的 string key ,然后值是一个 ssh key 的公钥。然后搜索下就发现作者在几天前就在说了 http://antirez.com/news/96
    kn007
        7
    kn007  
       Nov 11, 2015   ❤️ 1
    我其实想说一句。。。年轻真好。。。
    yexm0
        8
    yexm0  
       Nov 11, 2015
    “我刚黑掉别人的一台 Redis 服务器”
    要不要报警呢
    Andy1999
        9
    Andy1999  
    OP
       Nov 11, 2015 via iPhone
    @kendetrics
    @skydiver
    @yexm0 Redis crackit
    其实基本无难度的……
    cmheia
        10
    cmheia  
       Nov 11, 2015 via Android
    这是被对方黑回来了吗→_→
    Andy1999
        11
    Andy1999  
    OP
       Nov 11, 2015
    @cmheia hhhhhhhhhhhhhhhh 我是疏忽了。。。 真的疏忽了测试完没关掉 目前联系腾讯云让他们帮我把 key 弄掉重装了
    wbsdty331
        12
    wbsdty331  
       Nov 11, 2015
    不开 Redis 的表示无影响
    你的 ssh key 是多少位加密的
    Andy1999
        13
    Andy1999  
    OP
       Nov 11, 2015
    @wbsdty331 4096 吧
    mupeng
        14
    mupeng  
       Nov 11, 2015
    这个截图是 iphone 的什么软件?
    Keita1314
        15
    Keita1314  
       Nov 11, 2015
    @Andy1999 我也想知道截图是什么软件
    wbsdty331
        16
    wbsdty331  
       Nov 11, 2015
    @Andy1999 我当时用 8192 位的 dsa 放手机上的 Connectbot 不认
    Andy1999
        17
    Andy1999  
    OP
       Nov 11, 2015 via iPhone
    @mupeng serverauditor
    @Keita1314
    @wbsdty331 换 2048
    Mush
        18
    Mush  
       Nov 12, 2015
    上午的时候盆友说他们公司的 redis 数据全没了, 让我看看, 我就登上去一看, 发现各种诡异情况, 后来一查发现是个漏洞. 好在我司都是用 docker, 最坏的情况是数据丢失几个小时的, 然而比较谨慎的我们都配置了密码. 刚才还收到了 Ucloud 的电话, 询问我们有没有不安全因素.
    Andy1999
        19
    Andy1999  
    OP
       Nov 12, 2015 via iPhone
    @Mush 其实不能算漏洞 你们 bind 了 0.0.0.0 然后空密被清空自然很正常啦
    Mush
        20
    Mush  
       Nov 12, 2015
    @Andy1999 rdb 文件可以 dump 到.ssh 目录感觉是个不安全因素
    msg7086
        21
    msg7086  
       Nov 12, 2015
    @Mush 说过很多次了,用 root 运行 daemon 才是不安全因素。
    你给了程序最高权限,程序为啥不能 dump 到系统目录里……
    cloudzhou
        22
    cloudzhou  
       Nov 12, 2015
    最最简单的,难道不应该使用 iptables 吗?只把需要的端口开放出来
    yzimhao
        23
    yzimhao  
       Nov 12, 2015
    刚刚扫一下楼主的这个 ip 段 发现了 5 台 redis 都绑定到公网 ip 了

    尝试了一台成功 root 登陆
    Andy1999
        24
    Andy1999  
    OP
       Nov 12, 2015 via iPhone
    @yzimhao 115.159.44.* 这个段吗
    yzimhao
        25
    yzimhao  
       Nov 12, 2015
    @Andy1999 是的
    changqingshuya
        26
    changqingshuya  
       Nov 12, 2015 via iPhone
    中枪…赶紧把防火墙搞上…
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   930 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 57ms · UTC 22:08 · PVG 06:08 · LAX 15:08 · JFK 18:08
    ♥ Do have faith in what you're doing.