发现一个这样的情况,.ssh/authorized_keys
被不认识的 Key 覆盖了,这个情况已经发现了两次。大约内容是这样的:
REDIS0006▒qweA▒
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvqU+FuO3TPoMWt2kQAsvPWvN7eoL5S5eBpNmVO2Mcn19pARDc2+KJdCXCB4ZqwKtGz69K2Z+8YrxaRW+K0kZkUXdtFKi1HnlPtuRfIOrch6tNplP6P3SkFsI4ToMaR4xYPBu52FHQj4pPH4slmFTcChG9dGVk1g+w1ARvpxbbL/1n2Mgj2Z+ZVz9qqXN7C1UFSuwxJR52F+4fD/zRcFP/4tImaQw== [email protected]
abcA▒
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDVnmbxZtXTiWNNYyiPbWjstgmQ/K2/AInAOmPiHBIoFAxyg9J/n1Mhr0l8JMfqH+1p7+pym1nSM9DhrGTjgpBAb7U28OwUg0rIpBD2SBDj8a0qUhAzqRaFyL5Oq2Za5yvvG7DE+uHemV3GqqaSui+ipVUsTJ1aw7jBlkhP+cgmYlSO1zbuWYcgrMIkdT5tA9sZqRgM1LOlAZHmt/UF1TrnDQPbxh gnikllort@hax
我去查了一下,发现是 Redis 未授权访问的问题,具体链接见Redis 未授权访问导致可远程获得服务器权限
排查了一下发现 Redis 居然没有遵循默认配置文件,赶紧重启了下 Redis 并 bind 到 127.0.0.1
有时间还得重新分配下软件权限。。。只用一个 root 用户实在是太不安全了!!!!
有类似问题的朋友赶紧注意啦
幸好目前没发现什么破坏 T _ T
1
qcloud 2016-06-13 17:59:42 +08:00
啊哈!从背后被日了
|
2
lslqtz 2016-06-13 18:00:27 +08:00
Memcached 也是这样的,都有未授权访问。
配置好后应该习惯性外网 telnet 一下。 |
3
shiny 2016-06-13 18:03:05 +08:00
Redis 不应该有 root 权限,可以收下。
|
4
hancc 2016-06-13 18:05:41 +08:00 via Android
root 敢死队
|
5
rootit 2016-06-13 18:08:01 +08:00
我表示当我通过 Redis 漏洞 进入一台服务器时发现这台服务器已经不知道被 C 了多少次了。。。并且前面的人还留下 Readme 说要打款 1 BTC 。。。 然而好像管理员还没发现已经被 C 了。
|
6
lrh3321 2016-06-13 18:08:57 +08:00
持续关注
|
7
rootit 2016-06-13 18:09:18 +08:00
其实你扫面一个网段会发现有好多的 redis 及 mongodb 都是可以直接登入的,我之前扫了好几百个 IP 全是阿里云的。(以研究为目的的。。)
|
8
AZLisme OP 我查看了下 secure 日志,发现 6 月 12 日 5:00AM - 7:30AM 被持续的攻击了。
目测对方是一个 robot ,足足两个半小时内不停的尝试了好几百个用户\密码组合,从 git 、 ts 、 vnc 到 richard 、 john 、 smith 什么鬼都有,真是心疼 才上线几天就被惦记了,看来今晚要好好搞下安全策略。 最后, 最后, 对方的 IP 是: 139.129.12.45 (目测是一台阿里云主机) :) |
9
kaiku300 2016-06-13 18:20:20 +08:00
现在居然还有 Redis 未授权访问,真不敢相信 LZ 的业务能力
|
10
clino 2016-06-13 18:21:11 +08:00 via Android
你用 root 跑也是做死
另外用 fail2ban 防攻击好了 还是很方便的 |
11
AZLisme OP @kaiku300 不知咋的 redis 没有读取 etc 里面的配置文件…里面写了绑定到内网的 T_T
|
12
AZLisme OP 嗯嗯,感谢,吃个饭回去就打算搞起来
|
14
doyel 2016-06-13 18:38:05 +08:00
redis 这个坑中招的人太多了。。。
|
15
janxin 2016-06-13 18:40:13 +08:00
我不太明白为啥验证都没加就把 MongoDB 、 Redis 之类的服务暴露在公网上是为了方便吗?
|
16
Wenwei 2016-06-13 18:49:20 +08:00
Redis 那个漏洞刚出来的时候,真是一大堆人中了招。
用 root 启动 Redis 、 MongoDB 真是危险,使不得。 |
17
xdeng 2016-06-13 19:04:09 +08:00
netstat -tnlp
|
18
jhaohai 2016-06-13 19:20:19 +08:00
花样作死
|