公网未授权redis存在隐患

    据有关分析有攻击者瞄准了互联网上暴露的数万个未经身份验证的Redis服务器，试图被攻击者入侵安装加密货币矿工。目前尚不清楚是否都已成功入侵。这种利用技术背后的一般想法是配置Redis将其基于文件的数据库写入包含某些授权用户的方法的目录添加密钥，或启动一个进程。

恶意shell行为

攻击面平台发现攻击者试图将恶意crontab条目存储到文件“/var/spool/cron/root”中，从而导致执行托管在远程服务器上的shell脚本。

shell可执行以下操作

• 终止与安全相关和系统监视的进程
• 清除日志文件和命令历史记录
• 将新的 SSH 密钥（“backup1”）添加到根用户的authorized_keys文件以启用远程访问
• 禁用表防火墙
• 安装扫描工具，如大规模扫描，以及安装并运行加密货币挖掘应用程序 XMRig

部分失败的原因

攻击可能失败的主要原因是因为 Redis 服务需要使用提升的权限（即 root）运行，以便使攻击者能够写入上述 cron 目录。在容器（如docker）中运行Redis时可能会发生这种情况，其中进程可能会看到自己以root身份运行并允许攻击者编写这些文件，但在这种情况下，只有容器受到影响，而不是物理主机。

在超过四万个未经身份验证的Redis服务器中，潜在的数据暴露超过300 GB。

修复建议

为了缓解威胁，建议用户启用客户端身份验证，将 Redis 配置为仅在面向内部的网络接口上运行，通过将 CONFIG 命令重命名防止滥用 CONFIG 命令，并将防火墙配置为仅接受来自受信任主机的 Redis 连接。

星 球 免 费 福 利

 转发公众号本文到朋友圈获取抽奖资格

 点击下方小程序图片完成抽奖

星球的最近主题和星球内部工具一些展示

欢 迎 加 入 星 球 ！

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！