V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
constructor
V2EX  ›  程序员

Redis 也被挖矿攻击!

  •  
  •   constructor · 2019-11-28 09:56:21 +08:00 · 8481 次点击
    这是一个创建于 1823 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前 MySQL 被勒索比特币( https://v2ex.com/t/558440 ),今天 Redis 又被挖矿脚本注入,看起来是 cron job很好奇这个脚本怎么才能被执行?

    1. redis 内容

    redis_1

    2. 脚本 http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh 部分内容如下图:

    redis_2

    第 1 条附言  ·  2019-11-28 12:30:19 +08:00
    多谢大家的批评,我会认证改正。

    有谁能解答下,它这个脚本保存在 value 里,怎么才能被执行到?
    我通过代码获取到了 value = redis.get('1'), 它也不执行啊
    第 2 条附言  ·  2019-11-28 12:49:50 +08:00
    感谢 1 楼和 20 楼,终于明白了。
    再次感谢大家的批评和解决方案!
    27 条回复    2019-11-29 08:56:37 +08:00
    sheeta
        1
    sheeta  
       2019-11-28 10:01:18 +08:00   ❤️ 3
    houzhimeng
        2
    houzhimeng  
       2019-11-28 10:02:47 +08:00
    早就有了
    superrichman
        3
    superrichman  
       2019-11-28 10:08:43 +08:00 via iPhone
    我比较好奇它是怎么被写进你的 redis 的
    Elietio
        4
    Elietio  
       2019-11-28 10:08:44 +08:00
    ThirdFlame
        5
    ThirdFlame  
       2019-11-28 10:13:54 +08:00
    @superrichman 显然 redis 公网开放,并且无认证
    kiracyan
        6
    kiracyan  
       2019-11-28 10:16:21 +08:00
    redis 都做内网隔离的
    luozic
        7
    luozic  
       2019-11-28 10:17:29 +08:00
    redis 做内网可用,外网不能访问
    qwerthhusn
        8
    qwerthhusn  
       2019-11-28 10:19:27 +08:00   ❤️ 2
    MySQL 被勒索过,你这安全意识得有多差,现在 redis 又被搞
    zarte
        9
    zarte  
       2019-11-28 10:20:46 +08:00
    比较好奇存进去后如何执行?
    passerbytiny
        10
    passerbytiny  
       2019-11-28 10:28:20 +08:00   ❤️ 3
    是不是 redis 开放公网并且不设密码,是的话结帖吧,这是 redis 官方承认的“永不解决”的漏洞。
    337136897
        11
    337136897  
       2019-11-28 10:32:26 +08:00
    我周围遇到过被遇到挖矿的就是开放公网获取不设密码,又或者密码是 123456 的。只要密码设得稍微复杂点都不会被植入挖矿脚本,我只能说一句:活该.
    LuckyBoyGirl
        12
    LuckyBoyGirl  
       2019-11-28 10:35:35 +08:00
    redis 一定不要放外网 我也被挖矿过
    scukmh
        13
    scukmh  
       2019-11-28 10:39:31 +08:00
    安全意识太差。
    webshe11
        14
    webshe11  
       2019-11-28 10:40:43 +08:00
    同意楼上,再不提高安全意识瞎搞,建议改行
    webshe11
        15
    webshe11  
       2019-11-28 10:41:54 +08:00
    看楼主这两个贴子,可以专门去做蜜罐
    gearfox
        16
    gearfox  
       2019-11-28 10:53:57 +08:00
    可见楼主对安全丝毫不上心
    locoz
        17
    locoz  
       2019-11-28 11:00:40 +08:00
    请将所有数据库都放置于内网,并限制仅内网可访问,对外网只放出经过包装后的后端。这是基本的安全意识问题。
    NoahVI
        18
    NoahVI  
       2019-11-28 11:00:41 +08:00
    mysql 我也被搞过。。请问楼主是怎么解决的
    cmonkey
        19
    cmonkey  
       2019-11-28 11:20:29 +08:00
    应该将 redis 通过 docker 管起来,然后也不创建端口映射,应用需要用 redis 直接通过 link 的方式来访问
    nnnToTnnn
        20
    nnnToTnnn  
       2019-11-28 11:34:24 +08:00   ❤️ 1
    @superrichman 如果 redis 被恶意程序访问到了,那么可以利用

    config set dir xxx
    config set dbfilename xxxx
    set xxx
    save

    这几条命令在 linux 目录下创建文件。

    那么这就提供很多种攻击死了,

    比如利用

    + /var/www/html 攻击
    + 利用 ssh 的免登入攻击
    + 利用 Spring boot 或者 tomcat 等容器攻击。
    + 利用 nginx 攻击。

    如果有 Root 权限。

    那么相当于把整个 linux 拿到了,因为 linux 一切皆为文件
    constructor
        21
    constructor  
    OP
       2019-11-28 12:54:17 +08:00
    之前是公网访问且没有密码,目前解决方案:
    1. redis docker 仅开放 127.0.0.1:6379
    2. 仍然没有设置密码
    cco
        22
    cco  
       2019-11-28 15:27:42 +08:00
    公网开放,端口没改,没有密码,当年我也是这么中招的,于是后面就把 redis 加了密码,放在内网了。。。
    sjwuny
        23
    sjwuny  
       2019-11-28 16:22:17 +08:00
    之前用过,不到一个月就中招了。
    lc7029
        24
    lc7029  
       2019-11-28 16:26:43 +08:00
    redis 对公网开放且没有密码吧?
    一般套路不应该是在内网的 untrust 区域吗?
    bakabie
        25
    bakabie  
       2019-11-28 17:19:30 +08:00 via Android
    就算防内网也要设密码防 ssrf 吧。
    GoRoad
        26
    GoRoad  
       2019-11-28 18:39:59 +08:00
    我前段时间阿里云就被挖矿了,直接选择了重装系统
    dnsaq
        27
    dnsaq  
       2019-11-29 08:56:37 +08:00 via iPhone
    一个字:该
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2985 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:44 · PVG 21:44 · LAX 05:44 · JFK 08:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.