这是一个创建于 3437 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现一个这样的情况,.ssh/authorized_keys 被不认识的 Key 覆盖了,这个情况已经发现了两次。大约内容是这样的:
REDIS0006qweA ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvqU+FuO3TPoMWt2kQAsvPWvN7eoL5S5eBpNmVO2Mcn19pARDc2+KJdCXCB4ZqwKtGz69K2Z+8YrxaRW+K0kZkUXdtFKi1HnlPtuRfIOrch6tNplP6P3SkFsI4ToMaR4xYPBu52FHQj4pPH4slmFTcChG9dGVk1g+w1ARvpxbbL/1n2Mgj2Z+ZVz9qqXN7C1UFSuwxJR52F+4fD/zRcFP/4tImaQw== [email protected] abcA ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDVnmbxZtXTiWNNYyiPbWjstgmQ/K2/AInAOmPiHBIoFAxyg9J/n1Mhr0l8JMfqH+1p7+pym1nSM9DhrGTjgpBAb7U28OwUg0rIpBD2SBDj8a0qUhAzqRaFyL5Oq2Za5yvvG7DE+uHemV3GqqaSui+ipVUsTJ1aw7jBlkhP+cgmYlSO1zbuWYcgrMIkdT5tA9sZqRgM1LOlAZHmt/UF1TrnDQPbxh gnikllort@hax 我去查了一下,发现是 Redis 未授权访问的问题,具体链接见Redis 未授权访问导致可远程获得服务器权限
排查了一下发现 Redis 居然没有遵循默认配置文件,赶紧重启了下 Redis 并 bind 到 127.0.0.1
有时间还得重新分配下软件权限。。。只用一个 root 用户实在是太不安全了!!!!
有类似问题的朋友赶紧注意啦
幸好目前没发现什么破坏 T _ T
 | 1 qcloud 2016-06-13 17:59:42 +08:00 啊哈!从背后被日了 |
 | 2 lslqtz 2016-06-13 18:00:27 +08:00 Memcached 也是这样的,都有未授权访问。 配置好后应该习惯性外网 telnet 一下。 |
 | 3 shiny PRO Redis 不应该有 root 权限,可以收下。 |
 | 4 hancc 2016-06-13 18:05:41 +08:00 via Android root 敢死队 |
 | 5 rootit 2016-06-13 18:08:01 +08:00 我表示当我通过 Redis 漏洞 进入一台服务器时发现这台服务器已经不知道被 C 了多少次了。。。并且前面的人还留下 Readme 说要打款 1 BTC 。。。 然而好像管理员还没发现已经被 C 了。 |
 | 6 lrh3321 2016-06-13 18:08:57 +08:00 持续关注 |
| 7 rootit 2016-06-13 18:09:18 +08:00 其实你扫面一个网段会发现有好多的 redis 及 mongodb 都是可以直接登入的,我之前扫了好几百个 IP 全是阿里云的。(以研究为目的的。。) |
 | 8 AZLisme OP 我查看了下 secure 日志,发现 6 月 12 日 5:00AM - 7:30AM 被持续的攻击了。 目测对方是一个 robot ,足足两个半小时内不停的尝试了好几百个用户\密码组合,从 git 、 ts 、 vnc 到 richard 、 john 、 smith 什么鬼都有,真是心疼 才上线几天就被惦记了,看来今晚要好好搞下安全策略。 最后, 最后, 对方的 IP 是: 139.129.12.45 (目测是一台阿里云主机) :) |
 | 9 kaiku300 2016-06-13 18:20:20 +08:00 现在居然还有 Redis 未授权访问,真不敢相信 LZ 的业务能力 |
 | 10 clino 2016-06-13 18:21:11 +08:00 via Android 你用 root 跑也是做死 另外用 fail2ban 防攻击好了 还是很方便的 |
| 11 AZLisme OP @kaiku300 不知咋的 redis 没有读取 etc 里面的配置文件…里面写了绑定到内网的 T_T |
| 12 AZLisme OP 嗯嗯,感谢,吃个饭回去就打算搞起来 |
 | 14 doyel 2016-06-13 18:38:05 +08:00 redis 这个坑中招的人太多了。。。 |
 | 15 janxin 2016-06-13 18:40:13 +08:00 我不太明白为啥验证都没加就把 MongoDB 、 Redis 之类的服务暴露在公网上是为了方便吗? |
 | 16 Wenwei 2016-06-13 18:49:20 +08:00 Redis 那个漏洞刚出来的时候,真是一大堆人中了招。 用 root 启动 Redis 、 MongoDB 真是危险,使不得。 |
 | 17 xdeng 2016-06-13 19:04:09 +08:00 netstat -tnlp |
 | 18 jhaohai 2016-06-13 19:20:19 +08:00 花样作死 |
Select Language