Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
Advertisement
AZLisme

记今天被入侵的事情,就刚刚!

  •   
  •   AZLisme · Jun 13, 2016 · 6674 views
    This topic created in 3606 days ago, the information mentioned may be changed or developed.

    发现一个这样的情况,.ssh/authorized_keys 被不认识的 Key 覆盖了,这个情况已经发现了两次。大约内容是这样的:

    REDIS0006▒qweA▒

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvqU+FuO3TPoMWt2kQAsvPWvN7eoL5S5eBpNmVO2Mcn19pARDc2+KJdCXCB4ZqwKtGz69K2Z+8YrxaRW+K0kZkUXdtFKi1HnlPtuRfIOrch6tNplP6P3SkFsI4ToMaR4xYPBu52FHQj4pPH4slmFTcChG9dGVk1g+w1ARvpxbbL/1n2Mgj2Z+ZVz9qqXN7C1UFSuwxJR52F+4fD/zRcFP/4tImaQw== [email protected]


abcA▒

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDVnmbxZtXTiWNNYyiPbWjstgmQ/K2/AInAOmPiHBIoFAxyg9J/n1Mhr0l8JMfqH+1p7+pym1nSM9DhrGTjgpBAb7U28OwUg0rIpBD2SBDj8a0qUhAzqRaFyL5Oq2Za5yvvG7DE+uHemV3GqqaSui+ipVUsTJ1aw7jBlkhP+cgmYlSO1zbuWYcgrMIkdT5tA9sZqRgM1LOlAZHmt/UF1TrnDQPbxh gnikllort@hax

    我去查了一下,发现是 Redis 未授权访问的问题,具体链接见Redis 未授权访问导致可远程获得服务器权限

    排查了一下发现 Redis 居然没有遵循默认配置文件,赶紧重启了下 Redis 并 bind 到 127.0.0.1

    有时间还得重新分配下软件权限。。。只用一个 root 用户实在是太不安全了!!!!

    有类似问题的朋友赶紧注意啦

    幸好目前没发现什么破坏 T _ T

  • Redis
  • ssh-rsa
  • 权限
    18 replies    2016-06-13 19:20:19 +08:00
    qcloud
        1
    qcloud  
       Jun 13, 2016
    啊哈!从背后被日了
    lslqtz
        2
    lslqtz  
       Jun 13, 2016
    Memcached 也是这样的,都有未授权访问。
    配置好后应该习惯性外网 telnet 一下。
    shiny
        3
    shiny  
    PRO
       Jun 13, 2016
    Redis 不应该有 root 权限,可以收下。
    hancc
        4
    hancc  
       Jun 13, 2016 via Android
    root 敢死队
    rootit
        5
    rootit  
       Jun 13, 2016
    我表示当我通过 Redis 漏洞 进入一台服务器时发现这台服务器已经不知道被 C 了多少次了。。。并且前面的人还留下 Readme 说要打款 1 BTC 。。。 然而好像管理员还没发现已经被 C 了。
    lrh3321
        6
    lrh3321  
       Jun 13, 2016
    持续关注
    rootit
        7
    rootit  
       Jun 13, 2016
    其实你扫面一个网段会发现有好多的 redis 及 mongodb 都是可以直接登入的,我之前扫了好几百个 IP 全是阿里云的。(以研究为目的的。。)
    AZLisme
        8
    AZLisme  
    OP
       Jun 13, 2016
    我查看了下 secure 日志,发现 6 月 12 日 5:00AM - 7:30AM 被持续的攻击了。
    目测对方是一个 robot ,足足两个半小时内不停的尝试了好几百个用户\密码组合,从 git 、 ts 、 vnc 到 richard 、 john 、 smith 什么鬼都有,真是心疼
    才上线几天就被惦记了,看来今晚要好好搞下安全策略。

    最后,
    最后,

    对方的 IP 是: 139.129.12.45
    (目测是一台阿里云主机)

    :)
    kaiku300
        9
    kaiku300  
       Jun 13, 2016
    现在居然还有 Redis 未授权访问,真不敢相信 LZ 的业务能力
    clino
        10
    clino  
       Jun 13, 2016 via Android
    你用 root 跑也是做死
    另外用 fail2ban 防攻击好了 还是很方便的
    AZLisme
        11
    AZLisme  
    OP
       Jun 13, 2016 via iPhone
    @kaiku300 不知咋的 redis 没有读取 etc 里面的配置文件…里面写了绑定到内网的 T_T
    AZLisme
        12
    AZLisme  
    OP
       Jun 13, 2016 via iPhone
    嗯嗯,感谢,吃个饭回去就打算搞起来
    kaiku300
        13
    kaiku300  
       Jun 13, 2016
    @AZLisme 你看看你的内网主机某台的 host 是不是被劫持了,或者就是 dns 问题
    doyel
        14
    doyel  
       Jun 13, 2016
    redis 这个坑中招的人太多了。。。
    janxin
        15
    janxin  
       Jun 13, 2016
    我不太明白为啥验证都没加就把 MongoDB 、 Redis 之类的服务暴露在公网上是为了方便吗?
    Wenwei
        16
    Wenwei  
       Jun 13, 2016
    Redis 那个漏洞刚出来的时候,真是一大堆人中了招。
    用 root 启动 Redis 、 MongoDB 真是危险,使不得。
    46fo
        17
    46fo  
       Jun 13, 2016
    netstat -tnlp
    jhaohai
        18
    jhaohai  
       Jun 13, 2016
    花样作死
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5409 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 86ms · UTC 07:46 · PVG 15:46 · LAX 00:46 · JFK 03:46
    ♥ Do have faith in what you're doing.