记今天被入侵的事情，就刚刚！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 3090 天前的主题，其中的信息可能已经有所发展或是发生改变。

发现一个这样的情况，.ssh/authorized_keys 被不认识的 Key 覆盖了，这个情况已经发现了两次。大约内容是这样的：

REDIS0006▒qweA▒

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvqU+FuO3TPoMWt2kQAsvPWvN7eoL5S5eBpNmVO2Mcn19pARDc2+KJdCXCB4ZqwKtGz69K2Z+8YrxaRW+K0kZkUXdtFKi1HnlPtuRfIOrch6tNplP6P3SkFsI4ToMaR4xYPBu52FHQj4pPH4slmFTcChG9dGVk1g+w1ARvpxbbL/1n2Mgj2Z+ZVz9qqXN7C1UFSuwxJR52F+4fD/zRcFP/4tImaQw== [email protected]


abcA▒

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDVnmbxZtXTiWNNYyiPbWjstgmQ/K2/AInAOmPiHBIoFAxyg9J/n1Mhr0l8JMfqH+1p7+pym1nSM9DhrGTjgpBAb7U28OwUg0rIpBD2SBDj8a0qUhAzqRaFyL5Oq2Za5yvvG7DE+uHemV3GqqaSui+ipVUsTJ1aw7jBlkhP+cgmYlSO1zbuWYcgrMIkdT5tA9sZqRgM1LOlAZHmt/UF1TrnDQPbxh gnikllort@hax

我去查了一下，发现是 Redis 未授权访问的问题，具体链接见Redis 未授权访问导致可远程获得服务器权限

排查了一下发现 Redis 居然没有遵循默认配置文件，赶紧重启了下 Redis 并 bind 到 127.0.0.1

有时间还得重新分配下软件权限。。。只用一个 root 用户实在是太不安全了！！！！

有类似问题的朋友赶紧注意啦

幸好目前没发现什么破坏 T _ T

18 条回复 • 2016-06-13 19:20:19 +08:00

qcloud

2016-06-13 17:59:42 +08:00

啊哈！从背后被日了

lslqtz

2016-06-13 18:00:27 +08:00

Memcached 也是这样的，都有未授权访问。
配置好后应该习惯性外网 telnet 一下。

shiny

2016-06-13 18:03:05 +08:00

Redis 不应该有 root 权限，可以收下。

hancc

2016-06-13 18:05:41 +08:00 via Android

root 敢死队

rootit

2016-06-13 18:08:01 +08:00

我表示当我通过 Redis 漏洞进入一台服务器时发现这台服务器已经不知道被 C 了多少次了。。。并且前面的人还留下 Readme 说要打款 1 BTC 。。。然而好像管理员还没发现已经被 C 了。

lrh3321

2016-06-13 18:08:57 +08:00

持续关注

rootit

2016-06-13 18:09:18 +08:00

其实你扫面一个网段会发现有好多的 redis 及 mongodb 都是可以直接登入的，我之前扫了好几百个 IP 全是阿里云的。（以研究为目的的。。）

AZLisme

2016-06-13 18:18:26 +08:00

我查看了下 secure 日志，发现 6 月 12 日 5:00AM - 7:30AM 被持续的攻击了。
目测对方是一个 robot ，足足两个半小时内不停的尝试了好几百个用户\密码组合，从 git 、 ts 、 vnc 到 richard 、 john 、 smith 什么鬼都有，真是心疼
才上线几天就被惦记了，看来今晚要好好搞下安全策略。

最后，
最后，

对方的 IP 是： 139.129.12.45
（目测是一台阿里云主机）

：）