记今天被入侵的事情,就刚刚!

2016-06-13 17:55:36 +08:00
 AZLisme

发现一个这样的情况,.ssh/authorized_keys 被不认识的 Key 覆盖了,这个情况已经发现了两次。大约内容是这样的:

REDIS0006▒qweA▒

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvqU+FuO3TPoMWt2kQAsvPWvN7eoL5S5eBpNmVO2Mcn19pARDc2+KJdCXCB4ZqwKtGz69K2Z+8YrxaRW+K0kZkUXdtFKi1HnlPtuRfIOrch6tNplP6P3SkFsI4ToMaR4xYPBu52FHQj4pPH4slmFTcChG9dGVk1g+w1ARvpxbbL/1n2Mgj2Z+ZVz9qqXN7C1UFSuwxJR52F+4fD/zRcFP/4tImaQw== root@vps262154.ovh.net


abcA▒

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDVnmbxZtXTiWNNYyiPbWjstgmQ/K2/AInAOmPiHBIoFAxyg9J/n1Mhr0l8JMfqH+1p7+pym1nSM9DhrGTjgpBAb7U28OwUg0rIpBD2SBDj8a0qUhAzqRaFyL5Oq2Za5yvvG7DE+uHemV3GqqaSui+ipVUsTJ1aw7jBlkhP+cgmYlSO1zbuWYcgrMIkdT5tA9sZqRgM1LOlAZHmt/UF1TrnDQPbxh gnikllort@hax

我去查了一下,发现是 Redis 未授权访问的问题,具体链接见Redis 未授权访问导致可远程获得服务器权限

排查了一下发现 Redis 居然没有遵循默认配置文件,赶紧重启了下 Redis 并 bind 到 127.0.0.1

有时间还得重新分配下软件权限。。。只用一个 root 用户实在是太不安全了!!!!

有类似问题的朋友赶紧注意啦

幸好目前没发现什么破坏 T _ T

5700 次点击
所在节点    信息安全
18 条回复
qcloud
2016-06-13 17:59:42 +08:00
啊哈!从背后被日了
lslqtz
2016-06-13 18:00:27 +08:00
Memcached 也是这样的,都有未授权访问。
配置好后应该习惯性外网 telnet 一下。
shiny
2016-06-13 18:03:05 +08:00
Redis 不应该有 root 权限,可以收下。
hancc
2016-06-13 18:05:41 +08:00
root 敢死队
rootit
2016-06-13 18:08:01 +08:00
我表示当我通过 Redis 漏洞 进入一台服务器时发现这台服务器已经不知道被 C 了多少次了。。。并且前面的人还留下 Readme 说要打款 1 BTC 。。。 然而好像管理员还没发现已经被 C 了。
lrh3321
2016-06-13 18:08:57 +08:00
持续关注
rootit
2016-06-13 18:09:18 +08:00
其实你扫面一个网段会发现有好多的 redis 及 mongodb 都是可以直接登入的,我之前扫了好几百个 IP 全是阿里云的。(以研究为目的的。。)
AZLisme
2016-06-13 18:18:26 +08:00
我查看了下 secure 日志,发现 6 月 12 日 5:00AM - 7:30AM 被持续的攻击了。
目测对方是一个 robot ,足足两个半小时内不停的尝试了好几百个用户\密码组合,从 git 、 ts 、 vnc 到 richard 、 john 、 smith 什么鬼都有,真是心疼
才上线几天就被惦记了,看来今晚要好好搞下安全策略。

最后,
最后,

对方的 IP 是: 139.129.12.45
(目测是一台阿里云主机)

:)
kaiku300
2016-06-13 18:20:20 +08:00
现在居然还有 Redis 未授权访问,真不敢相信 LZ 的业务能力
clino
2016-06-13 18:21:11 +08:00
你用 root 跑也是做死
另外用 fail2ban 防攻击好了 还是很方便的
AZLisme
2016-06-13 18:23:22 +08:00
@kaiku300 不知咋的 redis 没有读取 etc 里面的配置文件…里面写了绑定到内网的 T_T
AZLisme
2016-06-13 18:25:27 +08:00
嗯嗯,感谢,吃个饭回去就打算搞起来
kaiku300
2016-06-13 18:34:03 +08:00
@AZLisme 你看看你的内网主机某台的 host 是不是被劫持了,或者就是 dns 问题
doyel
2016-06-13 18:38:05 +08:00
redis 这个坑中招的人太多了。。。
janxin
2016-06-13 18:40:13 +08:00
我不太明白为啥验证都没加就把 MongoDB 、 Redis 之类的服务暴露在公网上是为了方便吗?
Wenwei
2016-06-13 18:49:20 +08:00
Redis 那个漏洞刚出来的时候,真是一大堆人中了招。
用 root 启动 Redis 、 MongoDB 真是危险,使不得。
xdeng
2016-06-13 19:04:09 +08:00
netstat -tnlp
jhaohai
2016-06-13 19:20:19 +08:00
花样作死

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/285407

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX