redis配置不当导致机器被黑

近日公司安全专家对业务云主机进行例行安全检查发现某redis服务器异常,现象如下:

1、系统的history和/var/log日志目录均被清空;

2、流量异常

3、恶意新建了一个id=0,名称为beef-xbdb的高权限用户,其home目录是/root,跟root用户的属性做了绑定;

4、/boot启动目录有名称为gakzigdpzp的木马文件;

5、/boot目录下面的木马文件与192.225.230.143,一个香港的IP存在SYN_SENT连接状态的网络交互行为;

6、多个目录存在木马/后门文件:

......

后来经过排查,发现是redis配置不当所致:

1、以root启动redis服务

2、redis机器有公网地址

3、redis允许所有地址访问(注释了默认的bind 127.0.0.1)

4、redis不需要密码就可以访问(注释了默认的requirepass foobared)

于是杯具来了:

一旦6379端口被扫描到,然后config set dir /root/.ssh、config set dbfilename "authorized_keys"、save三个命令就可以将自己生成的公钥植入目标机器,这意味着什么已经很清楚了吧,此后黑客将获得此机器完全权限。

网上找了下,原来这是redis的一个典型的安全问题,而且里面有详细分析报告:

https://nosec.org/bobao/redis_crackit?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

即使不是用root启动的redis,也可以通过在apache的/var/www/html下植入一个php文件,然后在里面写入东西,最后在页面上访问获得web shell,同样风险极大。

时间: 2024-11-09 04:57:35

redis配置不当导致机器被黑的相关文章

Redis配置不当可导致服务器被控制,已有多个网站受到影响 #通用程序安全预警#

文章出自:http://news.wooyun.org/6e6c384f2f613661377257644b346c6f75446f4c77413d3d 符合预警中“Redis服务配置不当”条件的服务器,均有被攻击者控制的风险. 11月4日,国外安全研究人员@antirez 公布Redis服务一例高危安全风险.其发现,Redis服务如果配置不当,结合SSH服务,可以直接获取服务器的ROOT权限. 服务器配置不当包括三部分: Redis服务使用ROOT账户启动: Redis服务无密码认证或者弱密码

redis配置不当可导致服务器被控制

服务器配置不当包括三个部分:1.Redis服务使用ROOT账号启动2.Redis服务无密码认证或者使用的是弱口令进行认证3.服务器开放了SSH服务,而且允许使用密钥登录 简单的写下过程 测试环境victim server CentOS6.6 192.168.1.11attack server CentOS6.6+redis2.4 192.168.1.12 1 2 3 4 5 6 7 8 9 10 $ telnet 192.168.1.11 6379 Trying 192.168.1.11...

NFS配置不当导致的那些事儿

NFS(Network File System):是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源: NFS配置:(声明:以下NFS实验是在RedHat7上完成) 首先安装NFS(我的机子是最小化的系统,需要自己安装): yum install nfs-utils.x86_64 -y 启动服务: systemctl start rpcbind(如果这个服务不启动,nfs服务会启动失败) systemctl start nfs-server system

配置不当导致无法加载odoo-10.0模块

启动odoo-bin时出错 2017-01-05 06:38:51,046 5480 INFO ? odoo: Odoo version 10.02017-01-05 06:38:51,046 5480 INFO ? odoo: Using configuration file at C:\odoo-10.0\debian\odoo.conf2017-01-05 06:38:51,046 5480 INFO ? odoo: addons paths: [u'C:\\Users\\hello\\A

加某处配置不当导致大量内部信息泄露

mail.oneplus.cn弱口令[email protected] sunlin123 个人网盘详细员工信息,举个栗子好多附件顺带沦下[email protected] 邮箱和[email protected] 邮箱的密码.新密码为:Support2015由于有更多的同事要使用Zendesk来支持印度服务业务,原来我的账号([email protected])已经满足不了要求,因此我开通了3个账号,供你们使用.它们是:   同时也是邮箱账号:[email protected]  密码:one

nginx 配置不当导致目录遍历下载漏洞

今天做百度杯的时候发现一个题很有意思. 点进题目,发现了一个js重定向到login.php,抓包发现请求的header中cookie=0,做过这种类似的题目,o==false,在请求头里面将cookie=1,结果就进去了后台,(login.php中没有发现什么信息),进入后台, 点开Manage,如上图,网址的构造是module=index$name=php 推测是文件包含,我将index改成flag,说明flag在flag.php中我们所要做的就是提取出flag.php中的内容 思路1 用ph

nginx配置不当导致的目录遍历下载漏洞-“百度杯”CTF比赛 2017 二月场

题目:http://98fe42cede6c4f1c9ec3f55c0f542d06b680d580b5bf41d4.game.ichunqiu.com/login.php 题目内容: 网站要上线了,还没测试呢,怎么办? 经过测试在点击Mini-Zone的时候会有如下数据包. GET /index.php HTTP/1.1Host: 98fe42cede6c4f1c9ec3f55c0f542d06b680d580b5bf41d4.game.ichunqiu.comUpgrade-Insecure

Nginx配置不当可能导致的安全问题

Nginx配置不当可能导致的安全问题 Auther: Spark1e目前很多网站使用了nginx或者tenginx(淘宝基于Nginx研发的web服务器)来做反向代理和静态服务器,ningx的配置文件nginx.conf的一些错误配置可能引发一些安全问题.要了解这些问题,我们先简单了解一下Nginx的配置文件 0x00 Nginx的配置文件的格式 Nginx的主配置文件非常简短,是由一些模块构成的.在任何情况下Nginx都会加载其主配置文件.一个主配置文件nginx.conf的结构如下: ...

Redis 未授权访问缺陷可轻易导致系统被黑

Redis 未授权访问缺陷可轻易导致系统被黑 漏洞概要 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据.攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器. 漏洞概述 Redis