9月10日下午，阿里云官方首次發(fā)現(xiàn)一起規(guī)?；肦edis 未授權(quán)訪問(wèn)漏洞進(jìn)行加密貨幣勒索的事件，阿里云上防御系統(tǒng)在攻擊開(kāi)始的10s內(nèi)就已開(kāi)啟全網(wǎng)攔截。

與以往的只是通過(guò)算力竊取進(jìn)行挖礦的攻擊事件不同，此次攻擊者在攻擊之初就是以勒索錢(qián)財(cái)作為第一目的的，攻擊者無(wú)懼暴露，非常猖狂。直接刪除數(shù)據(jù)、加密數(shù)據(jù)也意味著攻擊者與防御者之間已經(jīng)沒(méi)有緩沖地帶，基本的攻防對(duì)抗將是赤裸裸的一場(chǎng)刺刀戰(zhàn)。

該高危漏洞早在半年前阿里云就發(fā)布過(guò)預(yù)警，但是還是有不少用戶并未進(jìn)行修改加以重視。阿里云安全專(zhuān)家提醒用戶參考文末方法，盡快完成漏洞修復(fù)或部署防御，一旦被攻擊成功，整個(gè)服務(wù)器的程序和數(shù)據(jù)都將會(huì)被刪除!且很難恢復(fù)。

Redis應(yīng)用簡(jiǎn)介
Redis是一個(gè)開(kāi)源的使用ANSI C語(yǔ)言編寫(xiě)、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫(kù)，并提供多種語(yǔ)言的API。從2010年3月15日起，Redis的開(kāi)發(fā)工作由VMware主持。從2013年5月開(kāi)始，Redis的開(kāi)發(fā)由Pivotal贊助。

Redis漏洞原理
作為一個(gè)內(nèi)存數(shù)據(jù)庫(kù)，redis 可通過(guò)周期性配置或者手動(dòng)執(zhí)行save命令，將緩存中的值寫(xiě)入到磁盤(pán)文件中。如果redis進(jìn)程權(quán)限足夠，攻擊者就可以利用它的未授權(quán)漏洞來(lái)寫(xiě)入計(jì)劃任務(wù)、ssh登錄密鑰、webshell 等等，以達(dá)到執(zhí)行任意指令的目的。

自2017年12月以來(lái)，由于該漏洞已經(jīng)被大規(guī)模利用，如DDG等多個(gè)僵尸網(wǎng)絡(luò)都以該漏洞為目標(biāo)進(jìn)行迅速的繁殖和占領(lǐng)算力，并且各大僵尸網(wǎng)絡(luò)間都會(huì)互相刪除彼此來(lái)保證自己對(duì)機(jī)器算力的掌握。

攻擊過(guò)程說(shuō)明
- 首先攻擊者通過(guò)事先的掃描踩點(diǎn)，發(fā)現(xiàn)了這些公網(wǎng)可訪問(wèn)并且未設(shè)置密碼的機(jī)器
- 攻擊者嘗試連接這些機(jī)器，并且運(yùn)行如下代碼:

通過(guò)上述指令，將下載腳本:http://103.224.80.52/butterfly.sh 并將該腳本寫(xiě)入到計(jì)劃任務(wù)中，由計(jì)劃任務(wù)啟動(dòng)執(zhí)行。

截止到9月10日晚8點(diǎn)為止，該地址共收到了0.6個(gè)比特幣的轉(zhuǎn)賬，并且都是在今日進(jìn)行發(fā)送的，已經(jīng)有受害者開(kāi)始轉(zhuǎn)賬了。

安全建議
1、通過(guò)安全組限制對(duì)公網(wǎng)對(duì)Redis等服務(wù)的訪問(wèn)
2、通過(guò)修改redis.conf配置文件，增加密碼認(rèn)證，并隱藏重要命令
3、以低權(quán)限運(yùn)行redis服務(wù)等

ice

收藏 海報(bào)分享