Redis 未授权访问配合 SSH key 登录已中枪 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

TradingView

这是一个创建于 3087 天前的主题，其中的信息可能已经有所发展或是发生改变。

事先申明：
1. 这台服务器开着的 Redis 为空密绑定到公网但是无任何应用
2. 本身是 SSH KEY 登录的不存在密钥错误问题

很惨，我刚黑掉别人的一台 Redis 服务器然后想上自己的服务器改点文件
随后发现 SSH 连不上报错 Key 不对（之前肯定正确）

想了一下怀疑和之前爆出的 Redis 空密码登录 VPS 有关。
为了验证自己的猜想，执行了 redis-cli -h ip
我最怕的事情发生了果然是空密并且监听在公网 IP 上。

总结：
想了一下为什么会发生这样的问题，原来是上次测试完 Redis 在服务器上的性能 Drop 了数据库但没关掉进程导致被黑
处理方案：
VNC 重新分发了私钥下去，可以登录
并且我已经将所有测试机都添加了 nologin 用户， bind 127.0.0.1 以及加密

这个事件告诉我们，千万别在公网上做这么不安全的事情，说不准你就被黑了！

26 条回复 • 2015-11-12 18:46:14 +08:00

1

humiaozuzu

2015-11-11 19:35:37 +08:00

看到公网 ip 了，不担心被 D 吗 = =

2

nlzy

2015-11-11 19:48:52 +08:00 via iPhone

这个故事告诉我们
服务不要用 root 跑
服务器不要开放所有端口

3

Andy1999

OP

2015-11-11 20:10:27 +08:00 via iPhone

@humiaozuzu 感谢提醒已换内网

@nlzy 现在坑惨了我替换了私钥都登不上去

4

kendetrics

2015-11-11 20:15:37 +08:00

“我刚黑掉别人的一台 Redis 服务器”

扑通，大神你还收徒么

5

skydiver

2015-11-11 20:17:23 +08:00

redis 有什么漏洞？

6

forever139

2015-11-11 20:18:31 +08:00

昨天就已经发现 redis 里面存了一个 crackit 的 string key ，然后值是一个 ssh key 的公钥。然后搜索下就发现作者在几天前就在说了 http://antirez.com/news/96

7

kn007

2015-11-11 20:24:17 +08:00

1

我其实想说一句。。。年轻真好。。。

8

yexm0

2015-11-11 20:26:39 +08:00

“我刚黑掉别人的一台 Redis 服务器”
要不要报警呢

9

Andy1999

OP

2015-11-11 20:42:20 +08:00 via iPhone

@kendetrics
@skydiver
@yexm0 Redis crackit
其实基本无难度的……

10

cmheia

2015-11-11 21:34:03 +08:00 via Android

这是被对方黑回来了吗→_→

11

Andy1999

OP

2015-11-11 21:49:57 +08:00

@cmheia hhhhhhhhhhhhhhhh 我是疏忽了。。。真的疏忽了测试完没关掉目前联系腾讯云让他们帮我把 key 弄掉重装了

12

wbsdty331

2015-11-11 21:53:44 +08:00

不开 Redis 的表示无影响
你的 ssh key 是多少位加密的

13

Andy1999

OP

2015-11-11 21:57:29 +08:00

@wbsdty331 4096 吧

14

mupeng

2015-11-11 22:35:29 +08:00

这个截图是 iphone 的什么软件？

15

Keita1314

2015-11-11 23:11:05 +08:00

@Andy1999 我也想知道截图是什么软件

16

wbsdty331

2015-11-11 23:15:20 +08:00

@Andy1999 我当时用 8192 位的 dsa 放手机上的 Connectbot 不认

17

Andy1999

OP

2015-11-11 23:57:22 +08:00 via iPhone

@mupeng serverauditor
@Keita1314
@wbsdty331 换 2048

18

Mush

2015-11-12 00:43:43 +08:00

上午的时候盆友说他们公司的 redis 数据全没了, 让我看看, 我就登上去一看, 发现各种诡异情况, 后来一查发现是个漏洞. 好在我司都是用 docker, 最坏的情况是数据丢失几个小时的, 然而比较谨慎的我们都配置了密码. 刚才还收到了 Ucloud 的电话, 询问我们有没有不安全因素.

19

Andy1999

OP

2015-11-12 00:44:53 +08:00 via iPhone

@Mush 其实不能算漏洞你们 bind 了 0.0.0.0 然后空密被清空自然很正常啦

20

Mush

2015-11-12 00:47:02 +08:00

@Andy1999 rdb 文件可以 dump 到.ssh 目录感觉是个不安全因素

21

msg7086

2015-11-12 01:02:19 +08:00

@Mush 说过很多次了，用 root 运行 daemon 才是不安全因素。
你给了程序最高权限，程序为啥不能 dump 到系统目录里……

22

cloudzhou

2015-11-12 10:49:18 +08:00

最最简单的，难道不应该使用 iptables 吗？只把需要的端口开放出来

23

yzimhao

2015-11-12 12:58:12 +08:00

刚刚扫一下楼主的这个 ip 段发现了 5 台 redis 都绑定到公网 ip 了

尝试了一台成功 root 登陆

24

Andy1999

OP

2015-11-12 14:53:03 +08:00 via iPhone

@yzimhao 115.159.44.* 这个段吗

25

yzimhao

2015-11-12 14:59:07 +08:00

@Andy1999 是的

26

changqingshuya

2015-11-12 18:46:14 +08:00 via iPhone

中枪…赶紧把防火墙搞上…

关于 · 帮助文档 · 博客 · API · FAQ · 我们的愿景 · 实用小工具 · 3927 人在线 最高记录 6543 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 28ms · UTC 04:13 · PVG 12:13 · LAX 21:13 · JFK 00:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.