The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Червь P2PInfect, атакующий серверы Redis"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от opennews (?), 21-Июл-23, 11:30 
Исследователи из группы Unit 42 обнаружили новый червь P2PInfect, создающий свою  P2P-сеть для распространения вредоносного ПО без применения централизованных управляющих серверов. После компрометации хост подключается к созданной P2P-сети, загружает образ с реализацией P2PInfect для необходимой операционной системы (поддерживается Linux и Windows) и переходит в режим сканирования других уязвимых хостов для совершения на них атаки и включения их в цепочку распространения червя. При сканировании выявляются уязвимые серверы Redis и проверяется наличие доступа по SSH. Код червя написан на языке Rust...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59473

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Червь P2PInfect, атакующий серверы Redis"  +38 +/
Сообщение от DeerFriend (?), 21-Июл-23, 11:30 
Написан на безопасном языке, расходимся, тут нечего обсуждать.
Ответить | Правка | Наверх | Cообщить модератору

3. "Червь P2PInfect, атакующий серверы Redis"  –7 +/
Сообщение от а (?), 21-Июл-23, 11:33 
Такс, а причем тут rust?
Ответить | Правка | Наверх | Cообщить модератору

4. "Червь P2PInfect, атакующий серверы Redis"  +3 +/
Сообщение от Аноним (4), 21-Июл-23, 11:47 
Новость читал? "Код червя написан на языке Rust"
Ответить | Правка | Наверх | Cообщить модератору

5. "Червь P2PInfect, атакующий серверы Redis"  +8 +/
Сообщение от Аноним (5), 21-Июл-23, 11:52 
Значит червь себя обезопасил, а redis написаный на C - не очень.
Ответить | Правка | Наверх | Cообщить модератору

9. "Червь P2PInfect, атакующий серверы Redis"  +31 +/
Сообщение от Аноним (9), 21-Июл-23, 12:49 
Тоже не понял откуда шум: на системе процент безопасного софта увеличился, а процент опасного уменьшился - радоваться нужно =)
Ответить | Правка | Наверх | Cообщить модератору

57. "Червь P2PInfect, атакующий серверы Redis"  +4 +/
Сообщение от Аноним (57), 21-Июл-23, 22:54 
Проблема в том, что червя нашли. Значит Раст плох, как инструмент создания червей. Т.к. после этого червей находят.

Видимо. )))))))))))))))))))))

Ответить | Правка | Наверх | Cообщить модератору

30. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (-), 21-Июл-23, 16:53 
> Значит червь себя обезопасил, а redis написаный на C - не очень.

Вообще, там написано еще и...

> выполнить произвольный код на языке Lua

Так что это классическое 🐸🐍.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

18. "Червь P2PInfect, атакующий серверы Redis"  +11 +/
Сообщение от пох. (?), 21-Июл-23, 15:20 
Как нечего? Чудо же! На безопастном языке наконец что-то - НАПИСАНО!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Червь P2PInfect, атакующий серверы Redis"  +5 +/
Сообщение от User (??), 21-Июл-23, 15:38 
В смысле не ПЕРЕ(но-чуть-чуть-НЕДО)писано, а прям с нуля?!
Да не, ерунда какая-то...
Ответить | Правка | Наверх | Cообщить модератору

40. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от анонимус (??), 21-Июл-23, 20:38 
ну так никто не захочет чтобы его вирус падал из-за какого-то use-after-free или его бы взломали из-за out-of-bounds массива
это тебе не ядро линукса - тут люди деньги зарабатывают
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

71. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от Аноним (-), 22-Июл-23, 00:47 
> Написан на безопасном языке, расходимся, тут нечего обсуждать.

Действительно, это гарантирует что червяк - безопасный. Казалось бы что может пойти не так? Расслабьтесь и получайте удовольствие.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Chel (?), 21-Июл-23, 12:03 
>поддерживается Linux и Windows
>уязвимость Redis для Ubuntu и Debian (проблема специфична для отдельных сборок)

Нипанятна...

Ответить | Правка | Наверх | Cообщить модератору

8. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (8), 21-Июл-23, 12:36 
The root cause is a simple oversight. Normally, Redis statically links Lua. The Ubuntu and Debian package dynamically links Lua. The vulnerable package disabled the use of the Lua require and module interfaces to prevent sandbox escapes, but failed to disable the Lua package interface. To fix this, Ubuntu and Debian simply set package to nil just like require and module. Here is the relevant line in Ubuntu’s rules file:

echo 'luaL_dostring(lua, "module = nil; require = nil; package = nil");' >>$@

The Lua package interface can be used to load arbitrary Lua shared libraries. For example, the original proof of concept by Reginaldo Silva loads “liblua” in order to execute the shell command touch /tmp/redis_poc via os.execute:

eval 'local os_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so", "luaopen_os"); local os = os_l(); os.execute("touch /tmp/redis_poc"); return 0'

Ответить | Правка | Наверх | Cообщить модератору

10. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Chel (?), 21-Июл-23, 13:12 
Про Дебиан с Убунтой понятно, нипанятна про винду
Ответить | Правка | Наверх | Cообщить модератору

54. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (54), 21-Июл-23, 22:28 
Redis is not officially supported on Windows. Васянские сборки - это васянские сборки.
Ответить | Правка | Наверх | Cообщить модератору

15. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от лютый арчешкольник... (?), 21-Июл-23, 14:54 
>Normally, Redis statically links Lua. The Ubuntu and Debian package dynamically links Lua.

о круто, в бабуане не только openssh патчат. в копилочку....

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

53. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (54), 21-Июл-23, 22:27 
А вот это - типичный Дебиан. Со своей дебилизацией, то есть дебианизацией, лезут кривыми руками в код, в котором ничего не понимают. Низя статически линковать, это не по-дебиановски! Тьфу.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

55. "Червь P2PInfect, атакующий серверы Redis"  +4 +/
Сообщение от Аноним (55), 21-Июл-23, 22:31 
Тьфу - это выполнять код на lua, полученный по сети от не пойми кого. Кто так делать будет - тому никакая песочница не поможет. Так что в Дебиане всё правильно сделали.
Ответить | Правка | Наверх | Cообщить модератору

60. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (54), 21-Июл-23, 23:01 
Что сделали правильно, сломали lua-сендбокс? Да вообще молодцы, премию выдать.

Понятно, что корень проблемы в торчащем в интернет Redis. Ну и что? И у администраторов этих серверов, и у дебианцев руки одинаково из известного места.

Ответить | Правка | Наверх | Cообщить модератору

64. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 21-Июл-23, 23:47 
напоминаю - от https://github.com/redis/redis/security/advisories/GHSA-p8x2... твой шитбокс никак не защитил.

> Понятно, что корень проблемы в торчащем в интернет Redis. Ну и что?

можно его вообще, к примеру, не запускать. Шах и мат, писатели червей! Сетевой сервис торчит в сеть, подумать только!

А вот недоязычок внутри, чорд побери, быстрого in-memory key-value store - это вот как раз феерическая идиотия. И дебиановцы вполне резонно постарались уменьшить attack surface.
Причем похоже успешно - большая часть торчащих в инет инстансов оказалась без этой фичи - потому что ее надо специально отдельно поставить.

Соответственно, и зеродеи дыры существующей с версии 2 (то есть лет десять) им не прилетели бы.

Ответить | Правка | Наверх | Cообщить модератору

70. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (54), 22-Июл-23, 00:41 
Сетевой сервис, но для внутренней доверенной сети.

К memcached, в котором вообще никаких механизмов авторизации нет, подобных вопросов не возникает? Так а какая разница? redis - это memcached с наворотами. Может, еще etcd с secrets наружу выставить? (Наверняка и такое найдется где-нибудь, ха-ха.)

Embedded language там нужен, чтобы дать возможность создавать свои собственные команды, выполняемые _атомарно_. Да, изначальная реализация с eval/evalsha дурная, в 7-й версии сделали нормальные functions.

Ответить | Правка | Наверх | Cообщить модератору

78. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 22-Июл-23, 11:20 
> Сетевой сервис, но для внутренней доверенной сети.

если она вообще есть.

(ну и такая себе конечно "заshitа" - до первого целеустремленного или засланного казачка)

> К memcached, в котором вообще никаких механизмов авторизации нет, подобных вопросов не возникает? > Так а какая разница?

существенная - мемкэш довольно бесполезен вне пределов локалхоста или хотя бы очень быстрой и не теряющей пакетов локальной сетки (но это неточно).
А вот редисы используются в распределенных кластерах, в том числе и геораспределенных.

Теми кто мемкэш уже перерос.

> Embedded language там нужен, чтобы дать возможность создавать свои собственные команды,
> выполняемые _атомарно_

мы используем in-memory k/v database вместо транзакционного sql-сервера, что, что может вообще тут пойти не так?

Ответить | Правка | Наверх | Cообщить модератору

82. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (82), 22-Июл-23, 18:27 
Так луа не для тех случаев, когда вместо key-value уместна полноценная РСУБД, а для того, чтобы выполнить 2-3 быстрые команды атомарно (так, чтобы между ними никто не вклинился). Там, где важна производительность, а потеря данных - вообще не то, что допустимая, а предусмотрена как отдельный сценарий с процедурой восстановления.

Посмотри java-библиотеку Redisson. Это не тупой redis-клиент, там реализованы все стандартные redis-паттерны, в том числе и требующие lua-скриптинга.

Ответить | Правка | Наверх | Cообщить модератору

86. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 22-Июл-23, 19:37 
ну вот мне сложно придумать юзкейс где надо суперпроизводительность и транзакции, но на потерю данных при этом наплевать совсем.

авторы универсальной библиотеки молодцы, конечно, что сделали ее - универсальной, но идея не тащить в каждый инстанс развернутый из стандартного пакета такую зависимость ради очень странной фичи представляется вполне разумной. И от предыдущего бага кого-то наверняка и спасло.

Ответить | Правка | Наверх | Cообщить модератору

88. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (82), 22-Июл-23, 21:36 
А это не транзакции совсем. Это тупая фигня, блокировка на время выполнения луа-скрипта. Потому он должен быть очень простым и быстрым :) В документации на Redis не просто так указана временная сложность алгоритма каждой из встроенных команд.

По сути, это был способ прекратить бесконечный рост количества встроенных команд: если нужное можно получить комбинацией двух-трёх, выполненных атомарно - вот вам Lua.

Ответить | Правка | Наверх | Cообщить модератору

83. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (82), 22-Июл-23, 18:28 
Мемкэш тоже используется в распределенных кластерах, очевидный пример - facebook
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

84. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 22-Июл-23, 19:34 
пейсбук - это очевидный пример как не надо делать (ничего).

Есть подозрение, что кто-то там либо приближенный к императору, либо прямо сам сцукенберг не всегда был дЭффективным менеджером и что-то там в уголке сам двадцать лет назад накодил. И с тех пор никому нельзя трогать уродливое старое легаси в принципе, под страхом немедленного увольнения при помощи ноги.

Причем костыли которыми это заставляют работать - достигают совершенно фееричных масштабов, но при этом видимо всячески поощряется и одобряется делать их так что результат непригоден для использования вне мордокниги в принципе.

Собственный псевдо-пехепе (не работает нигде кроме мордокниги), собственный совершенно неописуемо уродливый клон mercurial (вообще непохоже что работающий), последние совершенно е6@натские изменения в memcached...

Ты ничего из этого все равно не сможешь применить.
И, главное - совершенно и незачем это делать.

Ответить | Правка | Наверх | Cообщить модератору

89. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (82), 22-Июл-23, 21:45 
Это я общеизвестный пример привел. В 2006-2009 я сам в проекте схожего размера поучаствовал (не Фейсбук, но сотни миллионов пользователей есть), у нас тоже кластер мемкешей был. Если включить мозг, даже на основе multiget+CAS можно сделать много интересного ) Но там, конечно, был свой bare metal.

Кстати, фейсбуковские мультитред-патчи тогда протестировали и выбросили: они всё только замедляли. Какой-то минимально измеримый выигрыш во времени ответа начинался от 16 ядер, при этом оно жрало в 4 раза больше CPU. Так и сидели на форке 1.2, прибивая воркеры к ядрам и раскидывая по ketama hash. Туповато, зато эффективно.

Ответить | Правка | Наверх | Cообщить модератору

72. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (54), 22-Июл-23, 00:48 
> дебиановцы вполне резонно постарались уменьшить attack surface.

Да ничего они не попытались.

У них своё святое писание, запрещающее в том числе статическую линковку, и весь софт приводится к "стандартам Дебиана" невзирая на причины, почему некий софт этим стандартам не соответствует. Поскольку разработчики софта эти стандарты вертели на известном месте, "дебианизацией" занимаются мейнтенеры, клепая патчи на сорцы, которые не понимают.

В любом багтрекере любого популярного СПО легко найти багрепорты такого вида:
- у меня в Debian/Ubuntu такая-то проблема
- собери из оригинальных непатченных сорцов самостоятельно, воспроизведи, потом приходи
- не воспроизводится
- ну так жалуйся мейнтенеру, фиг ли ты к нам пришел?

И, что характерно, мейнтенер, даже после прямого указания на то, что он фигню какую-то сделал, будет упираться до последнего, потому что хоть он всё и сломал, но зато дебианизировал!

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

77. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от scriptkiddis (?), 22-Июл-23, 10:01 
Хоспаде аж до слез на сколько это именно так
Ответить | Правка | Наверх | Cообщить модератору

95. "Червь P2PInfect, атакующий серверы Redis"  +2 +/
Сообщение от Аноним (-), 23-Июл-23, 01:55 
> У них своё святое писание, запрещающее в том числе статическую линковку,

Потому что потом вулны невозможно запатчить в системе. Как вообще трекать все ли инстансы либы обновлены или нет если либа статично влинкована?

> и весь софт приводится к "стандартам Дебиана" невзирая на причины, почему некий
> софт этим стандартам не соответствует.

Это имеет свои причины. Вполне осмысленные и валидные.

> на известном месте, "дебианизацией" занимаются мейнтенеры, клепая патчи на сорцы, которые
> не понимают.

А тут такие эксперты собрались - предлагают создать помойки из статически линкованых бинарников. Как трекать обновление ВСЕХ инстансов либы при этом - подумаем потом, видимо.

> - не воспроизводится
> - ну так жалуйся мейнтенеру, фиг ли ты к нам пришел?

Это определенные издержки стабилизации системы. А если так не делать - вон те разработчики сломают сегодня что-то в этой либе, и оно на голову свалится такое хорошее, сломав работу софта. Это делает rolling дистры непредсказуемыми и непригодными для работания работ или эксплуатации на серверах. Конечно с некоторыми оговорками.

> И, что характерно, мейнтенер, даже после прямого указания на то, что он
> фигню какую-то сделал, будет упираться до последнего, потому что хоть он
> всё и сломал, но зато дебианизировал!

Это в целом не соответствует действительности. Хотя проколы бывают у всех.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

96. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (82), 23-Июл-23, 04:45 
В целом это совершенно разумные поавила. Но никакие правила не абсолютны. Абсолютизация доводит до полного бреда всегда.

Разумно:
- отправить пулл-реквест с динамической линковкой в апстрим;
- получить фидбэк, по которому либо доработать патч, либо согласиться с их аргументацией в пользу статической линковки именно с Redis, если на то есть веские причины;
- в последнем случае считать Lua частью его кода, и уязвимость в Lua считать уязвимостью в Redis.

Глупо: плохо разбираясь в коде, исключительно из соображений "у нас такие правила" наклепать патч, который не ревьюил ни один разбирающийся в данной кодовой базе человек, и запушить это в один из самых популярных дистрибутивов.

Ответить | Правка | Наверх | Cообщить модератору

98. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 23-Июл-23, 11:15 
> - отправить пулл-реквест с динамической линковкой в апстрим;

даже если он будет принят - это произойдет этак через три версии. Дистрибутиву нужен работающий пакет даже не сегодня а вчера - потому что все это еще и тестируется, а обновления ради обновлений - это вон вам в rolling, каждый день сломано что-то новое.

Т.е. это совершенно неэффективный подход даже если бы гордые разработчики не отшвыривали подобные патчи неглядя ровно по тому же принципу который ты приписываешь debian - "уменявсеработаит", "зачем мне лишние строчки" и вообще я у мамы самый умный.

> Глупо: плохо разбираясь в коде, исключительно из соображений "у нас такие правила" наклепать
> патч, который не ревьюил ни один разбирающийся в данной кодовой базе человек

значит не больно и хотели. Большинству вероятнее всего вообще не придет в голову включать там lua.

И, напоминаю, все это было не зря, гораздо более серьезную проблему с багом в самом редисе - не требующую никаких специально подобравшихся в /lib библиотек - таким образом перекрыли, и не пострадали те кто и слыхом не слыхал ни о каком lua в нем, за полной им ненадобностью такого костыля.

А уникальных индивидуев которым зачем-то понадобилось - оказалось аж 300 штук. Да и те могли бы год назад обновить пакет, но они настолько уникальные что и этого не сделали.


Ответить | Правка | Наверх | Cообщить модератору

100. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (82), 24-Июл-23, 09:55 
Чего они решили?
Ты думаешь, там отдельный пакет типа redis-lua, без которого Lua не ставится? Нет.
Ответить | Правка | Наверх | Cообщить модератору

101. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 24-Июл-23, 10:59 
она просто вообще не ставится, если вручную не поставить.

И зависимости такой у редиса - нет, даже опциональной.
(логично, кривые дебиановские скрипты 96го года не умеют в динамические модули)

Так что пока сам себе яйца не отстрелишь - ничего не произойдет.


Ответить | Правка | Наверх | Cообщить модератору

105. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (54), 26-Июл-23, 23:40 
Так луа может уже стоять по миллионы причин.
Ответить | Правка | Наверх | Cообщить модератору

106. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 27-Июл-23, 07:41 
Ну вот я осмотрелся в отсеках - нет у меня ни миллиона ни хотя бы одной причины.
Можно спать дальше.

А так - уже аж почти тыща штук нашлась. Из 300000 висящих голым задом в интернет.
Т.е. из трех сотен находится не всегда целый один ловкий мальчик, таки ухитряющийся притащить lua.

Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

65. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 21-Июл-23, 23:48 
Все правильно подумали. Сделали все неправильно, потому что, увы, админы не сильны в редисах.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

87. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (87), 22-Июл-23, 20:15 
Правильно по вашему мнению - это вообще не поставлять redis в репозиториях, ибо штука нишевая, кому реально нужно - тот достанет и если надо - и даже из исходников соберёт, а кому поиграться - тому лучше это не трогать?
Ответить | Правка | Наверх | Cообщить модератору

94. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 23-Июл-23, 01:32 
Правильное решение - вынести опциональную и явно чреватую проблемами фигню в опциональный модуль, а не прибивать гвоздем.
В результате на всю планету уязвимых нашлось аж 300 штук.

Очень жаль что оно не пришло в голову самому автору, тогда бы их, возможно, не было вовсе.

Ответить | Правка | Наверх | Cообщить модератору

7. "Червь P2PInfect, атакующий серверы Redis"  +5 +/
Сообщение от Анонин (?), 21-Июл-23, 12:15 
Говорили что на расте нет софта. А вот же он))
Правда 934 из 307к как-то маловато, но все еще впереди!
Ответить | Правка | Наверх | Cообщить модератору

12. "Червь P2PInfect, атакующий серверы Redis"  +10 +/
Сообщение от Аноним (12), 21-Июл-23, 14:21 
Надеюсь, что код без unsafe блоков
Ответить | Правка | Наверх | Cообщить модератору

16. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от Аноньимъ (ok), 21-Июл-23, 15:11 
Не понимают люди гениальной концепции разделяемых библиотек.
Нужно всё же отдельно ставить, чтобы место экономить и обновлять.
Пакеты ставить и зависимости разрешать.

А статически слинкованный код небезопасный.

Ответить | Правка | Наверх | Cообщить модератору

35. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от voiceofreason (?), 21-Июл-23, 18:53 
За пределами консольки это боль и руины
Ответить | Правка | Наверх | Cообщить модератору

58. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (57), 21-Июл-23, 22:56 
Хорошо работать всегда тяжело.
Ответить | Правка | Наверх | Cообщить модератору

107. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Анониссимусemail (?), 27-Июл-23, 23:11 
Вот не совсем понял этот момент, в новости написано, что именно из-за динамического связывания уязвимость проявилась.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

17. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Golangdev (?), 21-Июл-23, 15:16 
1. Как это обычно водится, как проверить свои редисы господа мерзкие, торгующие безопасностью не написали
2. Ну у кого хватит ума чтобы торчать редисом в интернеты ? Не выставляйте порты редиса, и не бкдет вам
> червь P2PInfect
> на языке Rust
Ответить | Правка | Наверх | Cообщить модератору

19. "Червь P2PInfect, атакующий серверы Redis"  –2 +/
Сообщение от пох. (?), 21-Июл-23, 15:22 
> Ну у кого хватит ума чтобы торчать редисом в интернеты ?

тем кому он нужен не на локалхосте?

> Не выставляйте порты редиса

да просто вообще им не пользуйтесь, пост, молитва, и никаких инторнетов.

Ответить | Правка | Наверх | Cообщить модератору

32. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (32), 21-Июл-23, 17:57 
> тем кому он нужен не на локалхосте?

Про VPN мальчик не слышал?
Или про ограничение по адресам на уровне файрволла?
Зачем вешать редис доступным всему инету образом???

Ответить | Правка | Наверх | Cообщить модератору

39. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от йода (?), 21-Июл-23, 20:32 
Опытного строителя костылей вижу я!
Ответить | Правка | Наверх | Cообщить модератору

44. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (32), 21-Июл-23, 22:07 
Чувак, а ты вообще в курсе, что VPN для того и придуман?
Что это Virtual Private Network
Оно придумано для того, что бы объединять разные сети в одну виртуальную частную
Ответить | Правка | Наверх | Cообщить модератору

61. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от ivan_erohin (?), 21-Июл-23, 23:19 
> объединять разные сети в одну виртуальную частную

допустим объединили. а что дальше ?
доверять хосту только потому что он из "нашей сети" ?
не требовать пароли и ключи, предоставлять сервисы просто так ?

Ответить | Правка | Наверх | Cообщить модератору

63. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Asdfghjk (?), 21-Июл-23, 23:32 
Жирноват
Ответить | Правка | Наверх | Cообщить модератору

68. "Червь P2PInfect, атакующий серверы Redis"  –3 +/
Сообщение от пох. (?), 22-Июл-23, 00:13 
Я боюсь твое "допустим" уже перебор. Местные эксперты если и строят vpn'ы, то в лучшем случае из своего локалхоста и ... локалхоста.

Потому что чисто технически это...как бы тебе намекнуть...

> доверять хосту только потому что он из "нашей сети" ?

ну в целом периметр безопасности - тоже неплох. Но обычно нереализуем. Или внутри оказывается слишком много всего, или что-то вынужденно торчит наружу, а чаще то и другое сразу.

> не требовать пароли и ключи, предоставлять сервисы просто так ?

это место у редиса тоже, мягко говоря - не очень.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

97. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от ivan_erohin (?), 23-Июл-23, 09:08 
> Потому что чисто технически это...как бы тебе намекнуть...

мне можно писать прямо.

> ну в целом периметр безопасности - тоже неплох. Но обычно нереализуем.

так стоит ли им заниматься ? или выгоднее потратиться на хардэнд всех хостов ?

>> не требовать пароли и ключи, предоставлять сервисы просто так ?
> это место у редиса тоже, мягко говоря - не очень.

это же не ftp. предполагаю, его можно легко обернуть в SSL, а где SSL - там и ключи и сертификаты.

Ответить | Правка | Наверх | Cообщить модератору

99. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от пох. (?), 23-Июл-23, 11:29 
> так стоит ли им заниматься ? или выгоднее потратиться на хардэнд всех хостов ?

или забить болт - авось пронесет на этот раз.
Вон, сотня тыщ ло...гениальных разработок трудами ребят из дебиан оказалась таки неуязвима.

> это же не ftp. предполагаю, его можно легко обернуть в SSL, а где SSL - там и ключи и
> сертификаты.

это не ftp. Там ключи, сертификаты, бесконечная бессмысленная й06ань. И длинный-длинный геморрой с установлением сессии и ее очисткой после завершения. Что просто вот кол в ж-пу для быстрого in-mem кэша, заточенного под максимальную возможную скорость ответа и вероятный stateless на том конце.

Даже стандартная редисовая авторизация (которая в стиле "дерни деточка за веревочку", и максимальная скорость ответа там тоже очень "удачно" легла в тему, рядом с паролями от всего плейнтекстом) создает проблему, а защищает такой замок только от честных людей, а никак не от упорных лесников.

Ответить | Правка | Наверх | Cообщить модератору

48. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноньимъ (ok), 21-Июл-23, 22:16 
> Зачем вешать редис доступным всему инету образом???

Очевидно в хауту для дикера с редисом ничего про впн не говорилось.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

46. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноньимъ (ok), 21-Июл-23, 22:14 
Редис же это высокоскоростное инмемори херотенище, нахрена такое через интернет долбить то?
Оно именно что для локалхоста или локальной сети.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

66. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от пох. (?), 21-Июл-23, 23:52 
ты перепутал, для локалхоста (и то неточно) - memcached.

А редис именно распределенное сетевое а не просто скоростное локалхостовое.
"Локальная сеть" в эпоху одноразовых инстансов амазона, поднимаемых-удаляемых на бегу по мере изменения нагрузок - очень эфемерное понятие.

Ответить | Правка | Наверх | Cообщить модератору

69. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноньимъ (ok), 22-Июл-23, 00:37 
Что-то я не улавливаю смысла, зачем?
Ну то есть какой в этом смысл если оно через интернет тормозит и тужится?


>в эпоху одноразовых инстансов амазона, поднимаемых-удаляемых на бегу по мере изменения нагрузок

Не в курсе как там в амазоне, но наверное там есть такая штука как внутренняя и внешняя сеть...

Просто интересно какой-то пример конкретный редиса через интернет узнать.
В интернетах пишут что оно вроде как брокер сообщений может работать, тогда конечно видимо смысл в этом есть.

-"Due to the nature of the database design, typical use cases are session caching, full page cache, message queue applications, leaderboards and counting among others"

Ну то есть кеш в интернете размещать как-то странно...?

Ответить | Правка | Наверх | Cообщить модератору

76. "Червь P2PInfect, атакующий серверы Redis"  –2 +/
Сообщение от пох. (?), 22-Июл-23, 09:44 
> Что-то я не улавливаю смысла, зачем?

хостинг on premises немодно, у белогривых лошариков принято все тащить в облачка.

Для большей "надежности" лучше сразу в несколько разных (требования уметь одновременно гугля амазона и что там еще за похабени - очень часты в выcepaх модных-современных hr'ов)
- ну это как бэкап базы гитляпа который был везде и нигде одновременно, чтоб денег не платить.

> Не в курсе как там в амазоне, но наверное там есть такая штука как внутренняя и внешняя сеть...

фуллшмяк девелоперы и модные девопсины во-первых просто не сумеют это настроить, во-вторых это стоит денег, а их не для того нанимали чтоб еще денег платить.

> Ну то есть кеш в интернете размещать как-то странно...?

что странного в том что у тебя сервера в интернете в 2k23?

Если все еще неочевидно - ну видимо ты хреновый совсем фулшмяк девелопер. Вот тебе традиционный юзкейс редиса - у тебя не один сервер а несколько, redundancy всякое / распределение нагрузки.
Очередной запрос юзера может прилететь на любой. Поэтому к данным сессии тоже должен быть доступ у любого (можно даже не извещать об этом фулшмяк девелоперов - пехепе умеет сам, одной строчкой ini). И если ты не хочешь чтобы оно все легло из-за того что где-то сдох редис - редисов у тебя будет failover кластер.

Использовать его вместо MQ довольно странная идея. Хотя если уже есть а нагрузки не предвидится - то возможно это лучше чем еще один кластер - теперь уже какой-нибудь кафки или прочего совсем невменоза. Но вообще у фулшмяков так немодно - посмотри ради интереса внутрь готового докера для onlyoffice. Потом тщательно протри антисептиком и все выбрось.

Ответить | Правка | Наверх | Cообщить модератору

85. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от Аноним (82), 22-Июл-23, 19:37 
MQ на rpoplpush и луа-костылях - да, затея, мягко говоря, сомнительная. А появившиеся в 5.0 Redis streams для MQ вполне себе. Если в проекте Redis уже используется, самое то.
Ответить | Правка | Наверх | Cообщить модератору

20. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Анонимусс (?), 21-Июл-23, 15:29 
Прям в заметке же ссылка "используется _исправленная_ в апреле прошлого года".
А по ней "Опубликован корректирующий выпуск CУБД Redis 7.0.5". Т.е. просто нужно обновиться до 7.0.5.
Пройти по ссылке, это в так сложно!
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

38. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (38), 21-Июл-23, 20:10 
Не мамонты должны страдать.
Ответить | Правка | Наверх | Cообщить модератору

25. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (25), 21-Июл-23, 16:11 
> 1. Как это обычно водится, как проверить свои редисы господа мерзкие, торгующие безопасностью не написали

Если по описанию проблемы и ссылкам на CVE ты не можешь разобраться сам, то грех с тебя не взять копеечку. Всё правильно написали, молодцы.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

33. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (32), 21-Июл-23, 18:00 
> 2. Ну у кого хватит ума чтобы торчать редисом в интернеты ? Не выставляйте порты редиса, и не бкдет вам

Насколько я помню в дефолтном конфиге от авторов редиски в какой-то момент был бинд на звезду, а в дистрибутивных пакетах бинд на локалхост
То есть уязвимость у дурачков которые сами поправили с локалхоста на звезду и не сделали ограничений по IP до кучи
Ну то есть это не уязвимость в редиске, а уязвимость в головах

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

41. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от Аноним (-), 21-Июл-23, 20:57 
> Насколько я помню в дефолтном конфиге от авторов редиски в какой-то момент
> был бинд на звезду, а в дистрибутивных пакетах бинд на локалхост
> То есть уязвимость у дурачков которые сами поправили с локалхоста на звезду
> и не сделали ограничений по IP до кучи
> Ну то есть это не уязвимость в редиске, а уязвимость в головах

При том вон те исследователи нашли примерно 390 000 редисок и голов. Конечно, вон то не на все из них действует.

Ответить | Правка | Наверх | Cообщить модератору

45. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноньимъ (ok), 21-Июл-23, 22:10 
Как же так! Ведь всё же в доркере депопсы же безопасно!
Ответить | Правка | Наверх | Cообщить модератору

50. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (32), 21-Июл-23, 22:17 
И при чем это тут?
То есть ты сначала сам сделал проброс из докера не на локалхост, а на внешний интерфейс, а теперь виноваты у тебя докер с редисом?
Говорят сдуру можно и х сломать, чувак
Вот дурь у тебя все и заменяет
Ответить | Правка | Наверх | Cообщить модератору

52. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноньимъ (ok), 21-Июл-23, 22:20 
Уверен что докер играет в наблюдаемом явлении не последнюю роль.

Но не прямую конечно.

Ответить | Правка | Наверх | Cообщить модератору

67. "Червь P2PInfect, атакующий серверы Redis"  –3 +/
Сообщение от пох. (?), 21-Июл-23, 23:53 
Прости, но проброс из дыркера на локалхост никому обычно не нужен.

Ну кроме васянов с локалхостом.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

47. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (32), 21-Июл-23, 22:14 
Проблема в том, что у местных обитателей нет понимания размахов сети
Вы говорите 390000 словно это много, а по факту при условном миллиарде-двух серверов в инете 390k  ближе к нулю, чем к чему-то еще
Так же, как вы твердите про "1%" который давным давно был опровергнут, но не понимаете, что 1% от 4 миллиардов пользователей сети(такова на данный момент оценка ООН) даже 1% это 40000000 человек
То есть у вас просто нет понимания величин с которыми в сети имеют дело
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

51. "Червь P2PInfect, атакующий серверы Redis"  –2 +/
Сообщение от Аноньимъ (ok), 21-Июл-23, 22:18 
По вашему докер на каждом компьютере в интернете стоит?
Ответить | Правка | Наверх | Cообщить модератору

59. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (-), 21-Июл-23, 22:59 
> Вы говорите 390000 словно это много, а по факту при условном миллиарде-двух
> серверов в инете 390k  ближе к нулю, чем к чему-то еще

Вы уверены что в интернете есть пара миллиардов серверов? Если виртуалок - там еще со скрипом можно поверить. И то - не факт. Просто потому что в интернете например вебсайтов примерно столько. И чертова куча - паркинги для трупиков, с газилионом вхостов на один айпишник.

> но не понимаете, что 1% от 4 миллиардов пользователей сети(такова на
> данный момент оценка ООН) даже 1% это 40000000 человек

Пользователь сети тоже довольно растяжимое понятие. Впрочем там давно уже не 1%, см соседнюю новость.

> То есть у вас просто нет понимания величин с которыми в сети имеют дело

Исследователи нашли что-то типа 390, чтоли, хостов на весь глобус которые оно пробило. Не так уж и дофига. Хотя эта штука или ее деривативы вроде еще по ssh себя пытается забрасывать и проч, вот так оно уже бойчее наверное пойдет. Во всяком случае Mirai помнится раскидал себя на 300 000 девайсов за какие-то незначительные времена менее суток.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

75. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от пох. (?), 22-Июл-23, 09:30 
а причем тут замахи твоей сети?

редис совершенно не для васянов с опеннета, они понятия не имеют что это и как этим пользоваться (да и некуда им его пихать на самом-то деле)

Даже если недосерверов в интернете цельный мильярд (что крайне маловероятно), большая их часть содержит только почтовик самого васяна и его вечно недописанный пет-проект (непременно на генераторе статического html!)
У васяна чуть попродвинутей там почта и веб сервер из одной странички окормляемого им подвальчика из трех человек.

390тыщ торчащих голым задом в инет серверков с очень специфическим сервисом - это весьма и весьма солидно на таком фоне.

Да и червяк, как видим, расползается - при том что казалось бы, корма для него почти не должно остаться, увизгвимость годичной тухлости. Впрочем, обновления содержат ужастные трояны от NSA поэтому у васянов они конечно же не включены.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

102. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от ivan_erohin (?), 24-Июл-23, 12:34 
> редис совершенно не для васянов с опеннета, они понятия не имеют что
> это и как этим пользоваться (да и некуда им его пихать
> на самом-то деле)

все три тезиса ошибочные. контрпример:
dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=32&CHAPTER_ID=05360

Ответить | Правка | Наверх | Cообщить модератору

22. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (22), 21-Июл-23, 15:50 
>Код червя написан на языке Rust.

И в нём пути к домашней папке незадачливого вирмейкера?

Ответить | Правка | Наверх | Cообщить модератору

31. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (-), 21-Июл-23, 17:38 
>> Код червя написан на языке Rust.
> И в нём пути к домашней папке незадачливого вирмейкера?

И структура проекта. А "папочкой" (вот масдай то) у этих лолок был кажись /root, о чем написано вооооон там :)

Ответить | Правка | Наверх | Cообщить модератору

49. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (32), 21-Июл-23, 22:16 
> у этих лолок был кажись /root

Или же у очень умных людей
Потому что root есть в любой системе
То есть вот root вообще ни на кого никак не укажет
При этом сборка могла осуществляться в одноразовой виртуалке

Ответить | Правка | Наверх | Cообщить модератору

56. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (-), 21-Июл-23, 22:52 
> Или же у очень умных людей
> Потому что root есть в любой системе
> То есть вот root вообще ни на кого никак не укажет

Ну так, мелочи, на тему умных людей ...
1) Список крейтов. При том врядли сильно популярных. Можно посмотреть кто это качал. А вдруг они таки поленились наруливать это (см ниже). Тогда довольно легко вычислить кто это. Не сильно много людей качают одновременно вон то с серваков вон тех.
2) Структура проекта восстановлена, так что если CIA/NSA/FBI/MOSSAD/MI6/whatever где-то найдет вот именно эти файлы - они знают что они добрались до вон тех.
3) Сборка под рутом позволяет жесточайше их поиметь. Например вкатив крейт поинтереснее. Еще скажите что майкрософт и амазон с гуглем не подмахнет такое в репу если вон те друзья попросят.

> При этом сборка могла осуществляться в одноразовой виртуалке

Могла, но сетапить ее в виде когда вы не будете палиться качем характерных крейтов в характерной последовательности... ммм... будет скажем так, не совсем просто. Так что если они вскоре присоединятся к "anna senpai" - я лично не удивился бы такому.

Ответить | Правка | Наверх | Cообщить модератору

62. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (32), 21-Июл-23, 23:29 
> Могла, но сетапить ее в виде когда вы не будете палиться качем характерных крейтов в характерной последовательности... ммм... будет скажем так, не совсем просто

Например качая через тор и меняя круги
Не?

Ответить | Правка | Наверх | Cообщить модератору

73. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (-), 22-Июл-23, 00:55 
> Например качая через тор и меняя круги
> Не?

Не знаю что за круги (circuits?) но сетапнуть работу 1-разовой виртуалки через тор, особенно в не совсем тупом виде ... все же некая отдельная канитель.

И вот заморочились ли они этим и во время девелопмента, сразу, потому что тайминги и набор крейтов достаточно характерные должны быть - вот это интересный вопрос. На месте вон тех господ я б лукапнул базы посмотреть, не отклеится ли у растишек ус случайно. Больно уж характерная последовательность должна быть.

На правах совсем жесткого эксперимента с другой стороны: собрать тайминги vs объем данных этой операции и если у ISP логинг достаточно продвинутый, посмотреть где такой {объем, тайминги} всплывали. Достоверность конечно фиговатенькая будет но как 1 из фильтров делающих из миллиардов десяток подозрительных типов может и прокатить.

Ответить | Правка | Наверх | Cообщить модератору

23. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от Аноним (23), 21-Июл-23, 15:54 
>an attacker with the ability to execute arbitrary Lua code could potentially execute arbitrary shell commands.

А с какого хрена удаленному подключению разрешено исполнять код на lua до аутентификации?

Ответить | Правка | Наверх | Cообщить модератору

37. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (38), 21-Июл-23, 20:08 
Чтобы ускорить скорость вестимо.
Ответить | Правка | Наверх | Cообщить модератору

27. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от bergentroll (ok), 21-Июл-23, 16:36 
Почему для MacOS не выпустили?
Ответить | Правка | Наверх | Cообщить модератору

28. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от 1 (??), 21-Июл-23, 16:44 
Серверов с редиской на MacOS пока маловато.
Ответить | Правка | Наверх | Cообщить модератору

92. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (92), 23-Июл-23, 00:17 
Потому что мак это система для домохозяек с облачным мусором, встроенной рекламой и неотключаемой телеметрией в каждом приложении.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

79. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (79), 22-Июл-23, 12:52 
>серверы Redis

ну почему именно сейчас и именно он???

>поддерживается Linux
>Ubuntu и Debian

только они? ух... значит на своем созданном по LFS можно не беспокоится?

Ответить | Правка | Наверх | Cообщить модератору

80. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от ZVVZemail (?), 22-Июл-23, 12:59 
 ну учитывая что 70% редис торчат без логина и пароля, то странно что это все раньше в решеио не превратилось
Ответить | Правка | Наверх | Cообщить модератору

81. "Червь P2PInfect, атакующий серверы Redis"  +1 +/
Сообщение от Аноним (81), 22-Июл-23, 17:41 
>Проблема специфична для сборок Debian и Ubuntu

Юзеры *BSD могут спать спокойно, вирусня грызет только попсовых пингвинов.

Ответить | Правка | Наверх | Cообщить модератору

104. "Червь P2PInfect, атакующий серверы Redis"  +/
Сообщение от Аноним (104), 25-Июл-23, 22:47 
спать спокойно могут тольто те, кто сам всё проверил, а не понадеялся на экспердов, т.е. никто
Ответить | Правка | Наверх | Cообщить модератору

90. "Червь P2PInfect, атакующий серверы Redis"  –1 +/
Сообщение от Аноним (92), 23-Июл-23, 00:10 
> червь

О жесть, от такого словца повеяло 2007 годом и вин хп.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру