这是一个创建于 935 天前的主题,其中的信息可能已经有所发展或是发生改变。
自己的 4H8G 小菜鸡,一周前,图方便直接对 0.0.0.0/0 暴露 6379 ,然后今天上去看缓存,发现有 backup1 这样的缓存。
四个 string key ,里面分别存储了:
- wget 从某个链接获得 shell 文件,并执行 shell 文件
- bash + base64 反转,以 root 进行提权
- bash + base64 反转,以 root 设定 CRON 任务
- bash + base64 反转,以 root 设定另一个 CRON 任务
Redis 本身处于容器,且是最新版。
查看了服务器的七日监控,没有任何 CPU/RAM/IO 剧烈波动,与往常一致。
进入系统层面 Cron 的 /var/spool/cron/* 目录,都没有新的 CRON 任务。
想请教一下各位大佬,这样的四条命令,在我只有这个端口暴露时,能干啥?
(我对攻防不是很了解,所以特地来请教一下。而且,每天都有人扫各种 IP 的各种端口吗……我对于这么快就被写入命令到缓存,感到害怕 )
第 1 条附言 2023-03-22 18:45:19 +08:00
@zhongjun96 大佬在 5L 给出简单方案:
利用 redis 的 config set 可以生成文件,上传密钥,就能连上你的机子
@Va1n3R 大佬在 16L 给出进一步方案:
#5 说过这是最简单的方案,复杂一点的有:
- 写入 Crontab 文件从而定时执行恶意命令,无需 ssh 端口开放。
- 利用 Redis 主从同步,无损写入二进制文件,利用手法:加载恶意模块,劫持系统 SO/DLL 等。
@0x535 大佬实验后:
redis 5.0 的可以成功,6.0 以后就限制了 dir 等重要配置的修改了
加层验证没坏处, 万一又通过 docker 漏洞穿透到你宿主机 docker 有不少逃逸案例
最后,@onemorechance 大佬指出,如果想了解更多可能,可以查查:
redis 未授权访问攻击方法
都感谢了一下,不成敬意。蟹蟹大家的指点。
Redis 密码已经加了。感谢各位大佬的回复和指点,这次又学到了,万幸目前还没受到损失。
 | 1 fengjianxinghun 2023-03-22 13:49:28 +08:00 docker 跑的 redis 大概率没事 |
 | 2 vagusss 2023-03-22 13:50:15 +08:00 还是加个密码吧 |
 | 4 uiosun OP @fengjianxinghun 希望没事,目前也没发现问题,但不懂就不安心,来请教各位,太刺激了 |
 | 5 zhongjun96 2023-03-22 13:54:16 +08:00  24 简单就是利用 redis 的 config set 可以生成文件,上传密钥,就能连上你的机子了  |
| 6 uiosun OP @zhongjun96 芜湖!懂了懂了,感谢大佬 |
 | 7 8355 2023-03-22 14:13:12 +08:00 @zhongjun96 #5 专业 |
 | 8 GuryYu 2023-03-22 14:32:57 +08:00 @zhongjun96 #5 咨询一下大佬,如果攻击者攻击的是 docker 容器内的 redis 服务,且容器只对宿主机和公网开放了 6379 端口 通过这种方式上传的密钥还能被远程攻击者连接上服务器吗 |
 | 9 keller 2023-03-22 14:56:54 +08:00 密钥是在容器里面,容器又没暴露 22 端口 他连个锤子 |
 | 11 0x535 2023-03-22 15:25:56 +08:00 1 试了一下 #5 的方法,redis 5.0 的可以成功,6.0 以后就限制了 dir 等重要配置的修改了。 |
 | 12 Oktfolio 2023-03-22 16:07:46 +08:00 http://en2an.top/cleanfda/init.sh 这个东西吧?我们生产环境中了 |
 | 13 hanyu2pomelo 2023-03-22 16:19:57 +08:00 去年公司被端口扫描种了挖矿,就是通过 redis 这种 |
 | 15 ak47007 2023-03-22 16:31:42 +08:00 去年我的服务器也开了 redis 默认端口,无密码,后面被人挖矿了 |
 | 16 Va1n3R 2023-03-22 16:35:24 +08:00 5 |
 | 17 onemorechance 2023-03-22 16:43:16 +08:00 1 redis 未授权访问攻击方法了解一下 |
 | 18 itechify PRO 印象新版本,通改配置+ ssh public key 漏洞已经没有了 |
| 19 itechify PRO 还是通过配置禁用修改配置的,总是印象,记不清 |
 | 20 chengong 2023-03-22 16:54:45 +08:00 随时随地 随随便便都提权你的服务器用来挖矿。 |
 | 21 qdzzyb 2023-03-22 17:16:44 +08:00 以前这么搞过,分分钟挖矿程序就给你安排上了 |
 | 22 joesonw 2023-03-22 17:53:54 +08:00 via iPhone 1 docker 有不少逃逸案例的,又不是虚拟机。 |
 | 23 paranoiagu 2023-03-22 18:25:06 +08:00 via Android 靠,redis 这漏洞。。。。。怕怕怕 |
 | 25 Eytoyes 2023-03-22 19:20:42 +08:00 IP 放出来让大家看看 |
 | 26 julyclyde 2023-03-26 19:19:37 +08:00 @paranoiagu 这不是 redis 的漏洞 |
Select Language