V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AZLisme
V2EX  ›  信息安全

记今天被入侵的事情,就刚刚!

  •  
  •   AZLisme · 2016-06-13 17:55:36 +08:00 · 5898 次点击
    这是一个创建于 3088 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现一个这样的情况,.ssh/authorized_keys 被不认识的 Key 覆盖了,这个情况已经发现了两次。大约内容是这样的:

    REDIS0006▒qweA▒
    
    ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvqU+FuO3TPoMWt2kQAsvPWvN7eoL5S5eBpNmVO2Mcn19pARDc2+KJdCXCB4ZqwKtGz69K2Z+8YrxaRW+K0kZkUXdtFKi1HnlPtuRfIOrch6tNplP6P3SkFsI4ToMaR4xYPBu52FHQj4pPH4slmFTcChG9dGVk1g+w1ARvpxbbL/1n2Mgj2Z+ZVz9qqXN7C1UFSuwxJR52F+4fD/zRcFP/4tImaQw== [email protected]
    
    
    abcA▒
    
    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDVnmbxZtXTiWNNYyiPbWjstgmQ/K2/AInAOmPiHBIoFAxyg9J/n1Mhr0l8JMfqH+1p7+pym1nSM9DhrGTjgpBAb7U28OwUg0rIpBD2SBDj8a0qUhAzqRaFyL5Oq2Za5yvvG7DE+uHemV3GqqaSui+ipVUsTJ1aw7jBlkhP+cgmYlSO1zbuWYcgrMIkdT5tA9sZqRgM1LOlAZHmt/UF1TrnDQPbxh gnikllort@hax
    

    我去查了一下,发现是 Redis 未授权访问的问题,具体链接见Redis 未授权访问导致可远程获得服务器权限

    排查了一下发现 Redis 居然没有遵循默认配置文件,赶紧重启了下 Redis 并 bind 到 127.0.0.1

    有时间还得重新分配下软件权限。。。只用一个 root 用户实在是太不安全了!!!!

    有类似问题的朋友赶紧注意啦

    幸好目前没发现什么破坏 T _ T

    18 条回复    2016-06-13 19:20:19 +08:00
    qcloud
        1
    qcloud  
       2016-06-13 17:59:42 +08:00
    啊哈!从背后被日了
    lslqtz
        2
    lslqtz  
       2016-06-13 18:00:27 +08:00
    Memcached 也是这样的,都有未授权访问。
    配置好后应该习惯性外网 telnet 一下。
    shiny
        3
    shiny  
       2016-06-13 18:03:05 +08:00
    Redis 不应该有 root 权限,可以收下。
    hancc
        4
    hancc  
       2016-06-13 18:05:41 +08:00 via Android
    root 敢死队
    rootit
        5
    rootit  
       2016-06-13 18:08:01 +08:00
    我表示当我通过 Redis 漏洞 进入一台服务器时发现这台服务器已经不知道被 C 了多少次了。。。并且前面的人还留下 Readme 说要打款 1 BTC 。。。 然而好像管理员还没发现已经被 C 了。
    lrh3321
        6
    lrh3321  
       2016-06-13 18:08:57 +08:00
    持续关注
    rootit
        7
    rootit  
       2016-06-13 18:09:18 +08:00
    其实你扫面一个网段会发现有好多的 redis 及 mongodb 都是可以直接登入的,我之前扫了好几百个 IP 全是阿里云的。(以研究为目的的。。)
    AZLisme
        8
    AZLisme  
    OP
       2016-06-13 18:18:26 +08:00
    我查看了下 secure 日志,发现 6 月 12 日 5:00AM - 7:30AM 被持续的攻击了。
    目测对方是一个 robot ,足足两个半小时内不停的尝试了好几百个用户\密码组合,从 git 、 ts 、 vnc 到 richard 、 john 、 smith 什么鬼都有,真是心疼
    才上线几天就被惦记了,看来今晚要好好搞下安全策略。

    最后,
    最后,

    对方的 IP 是: 139.129.12.45
    (目测是一台阿里云主机)

    :)
    kaiku300
        9
    kaiku300  
       2016-06-13 18:20:20 +08:00
    现在居然还有 Redis 未授权访问,真不敢相信 LZ 的业务能力
    clino
        10
    clino  
       2016-06-13 18:21:11 +08:00 via Android
    你用 root 跑也是做死
    另外用 fail2ban 防攻击好了 还是很方便的
    AZLisme
        11
    AZLisme  
    OP
       2016-06-13 18:23:22 +08:00 via iPhone
    @kaiku300 不知咋的 redis 没有读取 etc 里面的配置文件…里面写了绑定到内网的 T_T
    AZLisme
        12
    AZLisme  
    OP
       2016-06-13 18:25:27 +08:00 via iPhone
    嗯嗯,感谢,吃个饭回去就打算搞起来
    kaiku300
        13
    kaiku300  
       2016-06-13 18:34:03 +08:00
    @AZLisme 你看看你的内网主机某台的 host 是不是被劫持了,或者就是 dns 问题
    doyel
        14
    doyel  
       2016-06-13 18:38:05 +08:00
    redis 这个坑中招的人太多了。。。
    janxin
        15
    janxin  
       2016-06-13 18:40:13 +08:00
    我不太明白为啥验证都没加就把 MongoDB 、 Redis 之类的服务暴露在公网上是为了方便吗?
    Wenwei
        16
    Wenwei  
       2016-06-13 18:49:20 +08:00
    Redis 那个漏洞刚出来的时候,真是一大堆人中了招。
    用 root 启动 Redis 、 MongoDB 真是危险,使不得。
    xdeng
        17
    xdeng  
       2016-06-13 19:04:09 +08:00
    netstat -tnlp
    jhaohai
        18
    jhaohai  
       2016-06-13 19:20:19 +08:00
    花样作死
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1069 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:31 · PVG 06:31 · LAX 14:31 · JFK 17:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.