近日公司安全專家對業務雲主機進行例行安全檢查發現某redis服務器異常,現象如下:
1、系統的history和/var/log日誌目錄均被清空;
2、流量異常
3、惡意新建了一個id=0,名稱爲beef-xbdb的高權限用戶,其home目錄是/root,跟root用戶的屬性做了綁定;
4、/boot啓動目錄有名稱爲gakzigdpzp的***文件;
5、/boot目錄下面的***文件與192.225.230.143,一個香港的IP存在SYN_SENT連接狀態的網絡交互行爲;
6、多個目錄存在***/後門文件:
......
後來經過排查,發現是redis配置不當所致:
1、以root啓動redis服務
2、redis機器有公網地址
3、redis允許所有地址訪問(註釋了默認的bind 127.0.0.1)
4、redis不需要密碼就可以訪問(註釋了默認的requirepass foobared)
於是杯具來了:
一旦6379端口被掃描到,然後config set dir /root/.ssh、config set dbfilename "authorized_keys"、save三個命令就可以將自己生成的公鑰植入目標機器,這意味着什麼已經很清楚了吧,此後***將獲得此機器完全權限。
網上找了下,原來這是redis的一個典型的安全問題,而且裏面有詳細分析報告:
https://nosec.org/bobao/redis_crackit?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io
即使不是用root啓動的redis,也可以通過在apache的/var/www/html下植入一個php文件,然後在裏面寫入東西,最後在頁面上訪問獲得web shell,同樣風險極大。