Redis CrackIT 入侵事件引发Linux 沦陷


▲针对全球6379端口的redis服务器做了扫描,结果如上图

 
 如图开放在公网的redis的6379端口的ip总数有63443个。无密码认证的IP有43024个,在总数占比里达到67%。发现遭受到redis
crackit事件影响的服务器达到35024,在总数占比中达到55%,在无密码认证的redis数量中占比达到81%左右。

  事件描述

 
 很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授
权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。

本次攻击事件已经影响至少万余家服务器被成功入侵。redis官网并未对此提供补丁,到目前为止看到的利用过程是基于redis提供的正常功能,而且这一问题早在去年九月就作为远程代码执行RCE的技术问题做了公开发布,并只得到小范围传播。

  还原攻击过程

  寻找无验证的redis服务:

  容易遭受攻击的环境是用户自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 6379 的 Redis 端口。目前云服务供应商青云已经提供相应解决方案:

  ●以非 root 权限启动 Redis

  ●增加 Redis 密码验证

  ●禁止公网开放 Redis 端口, 例如可以在青云防火墙上禁用 6379 Redis 的端口

  ●检查 authorized_keys 是否非法

  比较直接有效的修补加固建议
从环境安全角度进行无需外网访问的可以绑定本地回环,同时需要对外的增加ACL进行网络访问控制。另外还可以借用stunnel等工具完成数据加密传输。
给redis设定密码、创建单独的nologin系统账号给redis服务使用、禁用特定命令等有效措施也可以亡羊补牢。

时间: 2024-12-23 09:20:36

Redis CrackIT 入侵事件引发Linux 沦陷的相关文章

redis crackit 安全事件分析

事件描述 11月9日早上10点多牛盾云安全收到几台客户服务器的安全监控系统告警,发现几台系统公钥文件被篡改,随后进行安全事件分析处理.在分析过程中我们发现了某黑客组织利用redis设计缺陷的攻击痕迹.考虑到攻击方式简单但影响极大,我们对此次安全事件做了进一步分析,发现这是针对全球互联网的全网性入侵事件.如果您的linux服务器上运行的redis没有设置密码,很可能已经受到了此次安全事件影响.结果将导致:redis数据丢失,服务器的ssh公钥被替换. 我们就此次安全事件预警式的针对全球6379端口

裸奔的后果!一次ssh被篡改的入侵事件

通常服务器安全问题在规模较小的公司常常被忽略,没有负责安全的专员,尤其是游戏行业,因为其普遍架构决定了游戏服通常都是内网进行数据交互,一般端口不对外开放,也因此对安全问题不过于重视.接下来要说的,这是我人生第一次在Linux环境中被入侵的经历,此前只有在Windows Server上有过多次入侵排查的经验,不适用于Linux环境中,由于自己的经验缺乏以及安全意识的薄弱,从而没有及时对已被侵入的服务器做隔离处理,导致扩散到较多的服务器,在此断指三根以示悔恨,哈哈,开玩笑的,在此总结下入侵排查过程以

(转)裸奔的后果!一次ssh被篡改的入侵事件

裸奔的后果!一次ssh被篡改的入侵事件 原文:http://blog.51cto.com/phenixikki/1546669 通常服务器安全问题在规模较小的公司常常被忽略,没有负责安全的专员,尤其是游戏行业,因为其普遍架构决定了游戏服通常都是内网进行数据交互,一般端口不对外开放,也因此对安全问题不过于重视.接下来要说的,这是我人生第一次在Linux环境中被入侵的经历,此前只有在Windows Server上有过多次入侵排查的经验,不适用于Linux环境中,由于自己的经验缺乏以及安全意识的薄弱,

Redis实现之事件

事件 Redis服务器是一个事件驱动程序,服务器需要处理以下两类事情: 文件事件(file event):Redis服务器通过套接字与客户端(或者其他Redis服务器)进行连接,而文件事件就是服务器对套接字操作的抽象.服务器与客户端(或者其他服务器)的通信会产生相应的文件事件,而服务器则通过监听并处理这些事件来完成一系列网络通信操作 时间事件(time event):Redis服务器中的一些操作(比如serverCron函数)需要在给定的时间点执行,而时间事件就是服务器对这类定时操作的抽象 文件

一次部署HTTPS的相关事件引发的思考

前言: 上周五快要下班的时候,突然收到通知客户希望了解一下部署HTTPS的流程,这种事情谁听了都会有几分诧异的.因为这件事虽然和工作有一定的相关度,但平时不会走这个方向,实际上也较少接触.此外,客户手下应该不缺人,做运维和开发的肯定比我更懂这个,但情况却和我想的不一样. 正文: 客户有需求,就应该尽量满足!因此,尽管之前对Apache.Tomcat的一些配置不熟,也未有过自己部署HTTPS的经验[当然失败的尝试还是有的],便趁着周末了解了一下相关的东西,在本地搭建了环境.实践表明,当你对一个东西

redis集群构建过程 linux windows

redis集群的构建过程 本人初次构建redis集群时,通过查阅资料整理的文档 目录 Linux Redis cluster集群方案... 1 Windows redis集群方案... 5 Linux Redis cluster集群方案 1 安装: 下载地址:http://download.redis.io/releases/ 下载版本:redis3.0.7.tar.gz [[email protected] soft]$ tar -zxzf redis-3.0.7.tar.gz [[email

印度夫妻登山事件引发的感慨

印度夫妻登山事件引发的感慨 笔者的最大的爱好之一是阅读,这个阅读不单单指看书,也包括观看环球新闻,杂志天下等节目.观看杂志天下.<杂志天下>是江西卫视的一档新闻类脱口秀节目,由林白(林中白狼)创办主持,现为廖杰主持,周一至周五中午12:40播出.从07年到现在已经快10年了.是笔者至今为止最喜爱的节目之一.节目内容不谈政_治,专注生活的方方面面.该节目的名言:读杂志,观天下,杂志话题多,咱们明天中午接着说.那笔者就说说这个不谈政治的节目却引发的政治问题.(这个问题下文详细介绍,同时该问题与该节

Linux Redis 重启数据丢失解决方案,Linux重启后Redis数据丢失解决方

Linux Redis 重启数据丢失解决方案,Linux重启后Redis数据丢失解决方案 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ?Copyright 蕃薯耀 2017年7月22日 http://www.cnblogs.com/fanshuyao/ 一.问题说明 在Linux系统中,Redi

公司僵尸帐号引发了一系列的入侵事件-细说密码强度验证的重要性

一.前言 每个公司几乎都会有一个公司的内部系统,每个员工的入职的的时候都会给开一个帐号,一般开帐号的这个人不会考虑帐号的安全性,用户名大多都是员工的姓名或者工号,密码也是姓名或者工号或者123456,如果可以输入123的话估计就设置123了,哈哈,那么问题就来了.如果这个员工不用这个系统不用这个系统或者不重置密码,很容易让别人登录的,导致公司内部的系统信息外泄,损失惨重. 最近公司的内部系统发现了异常,一些帐号在一些奇怪的地方登录,密码几乎大部分是弱密码,什么123456,123abc,6543