The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.07.2016 10:14  Выявлено около 6000 скомпрометированных установок СУБД Redis

Как уже сообщалось ранее, из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based Security проанализировали публично доступные 30239 экземпляров СУБД Redis и пришли к выводу, что на 6338 серверах наблюдаются следы вредоносной активности.

В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 211 c root@dedi10243.hostsailor.com и т.п. SSH-ключ злоумышленников сохранён на сервере в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH и получить полный доступ к системе.

Появление данной активности соотносится с выявлением в прошлом году уязвимости (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не спешат применять обновление и в сети можно встретить 106 различных уязвимых версий Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной версии и применении надлежащих методов разграничения доступа. В простейшем случае факт компрометации можно выявить по наличию в БД ключа "crackit".

  1. Главная ссылка к новости (https://www.riskbasedsecurity....)
  2. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
  3. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  4. OpenNews: Ядро операционной системы стало узким местом при выполнении операций в СУБД Redis
  5. OpenNews: Выпуск СУБД Redis 3.2
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: redis
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:54, 10/07/2016 [ответить] [смотреть все]
  • +/
    Лол, хипсторы совсем обленились, даже конфиг сделать не могут.
     
     
  • 2.2, Аноним, 11:09, 10/07/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    А представь, как весело разработчикам дистрибутивов, которые в 2016 поставляют с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, angra, 11:34, 10/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Аргументы против парольного входа по ssh сможешь привести?
     
     
  • 4.4, anonymous, 11:45, 10/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    КТО СКАЗАЛ БРУТФОРС?
     
     
  • 5.6, Аноним, 12:03, 10/07/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    Кто сказал "Правильные пароли"? И тогда можно годами брутфорсить.
     
     
  • 6.11, й, 12:47, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    эм, скажем так в правильном пароле у вас вряд ли будет больше 256 бит энтропи... весь текст скрыт [показать]
     
     
  • 7.56, Аноним, 12:18, 11/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    В пароле и 128 хватит Навсегда А вот ключ скоро сломают квантовые компьютеры ... весь текст скрыт [показать]
     
  • 5.8, Аноним, 12:06, 10/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Кто сказал файерволл Ограничить количество новых коннектов для ssh в единицу вр... весь текст скрыт [показать]
     
     
  • 6.9, Аноним, 12:19, 10/07/2016 [^] [ответить] [смотреть все]  
  • +8 +/
    Есть вариант проще. Я на сервере в предприятии, где работаю, снизил нагрузку на проц на 10%, выбрав нестандартный порт для ssh. Сразу все брутфорсеры отвалились.
     
     
  • 7.51, Аноним, 23:02, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    > Сразу все брутфорсеры отвалились.

    почему?

     
     
  • 8.52, Аноним, 23:12, 10/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Потому что большинство брутфорсов делается ботами, которые просто сканят сеть и ... весь текст скрыт [показать]
     
  • 6.12, й, 12:48, 10/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    и не смочь попасть на сервер, когда кто-то другой активно подбирает пароль с дес... весь текст скрыт [показать]
     
  • 6.14, anonymous, 12:54, 10/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Я напомню мы обсуждаем новость о гарантированном обнаружении 6k идиотов, котор... весь текст скрыт [показать]
     
  • 6.15, anonymous, 12:57, 10/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    P S Не говоря уже о том, что security-by-default гораздо лучше, чем security-by... весь текст скрыт [показать]
     
  • 6.29, ъ, 17:43, 10/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Не флейма ради, но хотелось бы узнать, как имено искать доки в гугле, что бы это... весь текст скрыт [показать]
     
     
  • 7.30, Аноним, 18:21, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    iptables recent Способ в каком-то виде можно применить для аппаратных роутеров, ... весь текст скрыт [показать]
     
  • 7.41, Аноним, 20:13, 10/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ищи по iptables connlimit или iptables limit Вот пример из гугла на вскидку ipta... весь текст скрыт [показать]
     
     
  • 8.64, count0krsk, 20:32, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    А у меня вообще ssh открывается на 5-значном порту, 1е 10000 как правило боты с... весь текст скрыт [показать]
     
  • 7.43, Аноним, 20:18, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот тебе портянка вдогонку https thelowedown wordpress com 2008 07 03 iptable... весь текст скрыт [показать]
     
  • 7.54, koblin, 08:14, 11/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    fail2ban
     
  • 4.17, й, 13:00, 10/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    есть такая штука как аудит безопасности т е в логах я вижу в этот аккаунт вош... весь текст скрыт [показать]
     
     
  • 5.18, й, 13:02, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    ах, и да, несколько лет назад в openssh была эпичная дырка, позволяющая удалённо... весь текст скрыт [показать]
     
     
  • 6.23, angra, 14:28, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    А перед этим была дыра с ключами в debian, так что теперь ключи тоже не использо... весь текст скрыт [показать]
     
     
  • 7.35, й, 19:21, 10/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    скорее, debian, если вы помните суть той дыры.
     
     
  • 8.47, Аноним, 21:47, 10/07/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Суть дыры сводилась к тому, что вместо использования ваниллы в дебиане пропатчил... весь текст скрыт [показать]
     
     
  • 9.58, Аноним, 14:25, 11/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Справедливости ради, посмотри, что там патчили Инициализация локальной переменн... весь текст скрыт [показать]
     
  • 5.22, angra, 14:27, 10/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Я просил аргументы против паролей, а не за ключи Наличие аутентификации по паро... весь текст скрыт [показать]
     
     
  • 6.31, Аноним, 18:23, 10/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Без паролей сон более длительный и глубокий ... весь текст скрыт [показать]
     
  • 6.36, й, 19:31, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    ну, а смысл использовать пароль, если все всё равно ходят по ключам когда в 201... весь текст скрыт [показать]
     
     
  • 7.40, angra, 20:11, 10/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    1 Возможность зайти на сервер не с основной машины 2 Передать сервер клиенту... весь текст скрыт [показать]
     
     
  • 8.44, й, 20:23, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    ага, из интернет-кафе с кейлоггером в комплекте для такого случая можно сгенери... весь текст скрыт [показать]
     
     
  • 9.46, angra, 21:11, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    1 То есть кроме как своя машина и интернет-кафе других вариантов у вас нет Мои... весь текст скрыт [показать]
     
     
  • 10.67, XoRe, 20:50, 12/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Можно иметь приватный ключ и не на основной машине При желании, можно наделать ... весь текст скрыт [показать]
     
  • 9.63, scorry, 10:59, 12/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты, милок, и клавиатуру к народу поворачиваешь, небось, когда пароли набираешь, ... весь текст скрыт [показать]
     
  • 5.25, anonymous, 15:40, 10/07/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Очень интересно узнать как Вы охарактеризуете следующую ситуацию есть такая шту... весь текст скрыт [показать]
     
     
  • 6.28, angra, 17:40, 10/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Данная ситуация характеризуется просто кто-то очень плохо разобрался в том, что... весь текст скрыт [показать]
     
  • 6.38, й, 19:45, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    очень нецензурно охарактеризую да, я видел случаи, когда люди не знали, что клю... весь текст скрыт [показать]
     
     
  • 7.60, anonymous, 01:04, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Не думал что намёк получится настолько тонким У Вас какая-то ошибка cp tmp n... весь текст скрыт [показать]
     
     
  • 8.68, й, 21:20, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    эм, ещё раз вводные A и B оба используют аккаунт Y нам надо отозвать доступы у... весь текст скрыт [показать]
     
  • 5.27, Аноним, 15:51, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    По поводу рассылки паролей, например: https://github.com/zalora/juandelacosa
     
     
  • 6.39, й, 20:09, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    вы это серьёзно во-первых, юзер, имеющий хоть какой доступ к серверу будь то е... весь текст скрыт [показать]
     
  • 4.53, Аноним, 04:44, 11/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    У меня есть железобетонный аргумент Хочет человек получить ssh-доступ на сервер... весь текст скрыт [показать]
     
     
  • 5.62, sendlettersmail.ru, 10:53, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Высылай IP ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCgIuuS4 bKXbm8Cbg61K33TeJiJ cxo... весь текст скрыт [показать]
     
     
  • 6.69, й, 21:23, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    > Высылай IP

    127.0.0.1

     
  • 3.7, Аноним, 12:04, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Они тебе что должны что-то или ты им деньги платишь Они поставляют дефолтную ко... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 12:20, 10/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Можно подумать, что платящие получат безопасную конфигурацию А потом кто-то, ис... весь текст скрыт [показать]
     
  • 3.20, й, 13:18, 10/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    есть ещё такая штука как vnc предустановленная что в маке, что в убунте так во... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 18:28, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Короткие пароли - не самая большая его проблема Оно тормозное, да и реализации ... весь текст скрыт [показать]
     
     
  • 5.37, й, 19:35, 10/07/2016 [^] [ответить] [смотреть все]  
  • +/
    я про это же редис по дефолту слушает только 127 0 0 1 во всех распространённых... весь текст скрыт [показать]
     
  • 2.16, Наркоман, 12:58, 10/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ты каждое утро встаёшь и весь день начинаешь ныть про хипстеров в комментариях к... весь текст скрыт [показать] [показать ветку]
     
  • 2.24, РОСКОМУЗОР, 15:06, 10/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты кроме хипстОров другие слова знаешь?
     
  • 1.5, depeche, 11:51, 10/07/2016 [ответить] [смотреть все]  
  • –1 +/
    Вы же и сказали. Относительно серьезные несловарные пароли ломаются долго.
     
  • 1.21, t28, 13:33, 10/07/2016 [ответить] [смотреть все]  
  • +1 +/
    >из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB,
    >Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы,
    >отдавая свои данные всем желающим без аутентификации.

    В CentOS-е default config memcached такой, что по умолчанию слушается порт на INADDR_ANY. Eстественно, безо всякой аутентификации доступен извне сразу после запуска. :)

     
  • 1.26, Аноним, 15:48, 10/07/2016 [ответить] [смотреть все]  
  • –3 +/
    А ещё есть идиоты, которые используют TCP  на локалхосте.
     
     
  • 2.34, Crazy Alex, 19:12, 10/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Редис и подобные по большому счёту не рассчитаны на использование на локалхосте ... весь текст скрыт [показать] [показать ветку]
     
  • 2.42, angra, 20:18, 10/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Ну а TCP уже чем не угодил?
    Школоло узнало про unix socket?
     
     
  • 3.49, Аноним, 22:11, 10/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Чем вам unix socket не нравится помимо некроссплатформенности?
     
     
  • 4.57, angra, 13:26, 11/07/2016 [^] [ответить] [смотреть все]  
  • +/
    С чего вы взяли, что они мне не нравятся Отличная вещь, активно использую, такж... весь текст скрыт [показать]
     
  • 4.59, Аноним, 14:28, 11/07/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    для кросплатформенности WebSockets давно есть, призваные кстати все три версии... весь текст скрыт [показать]
     
     
  • 5.65, count0krsk, 20:45, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    > "для кросплатформенности" WebSockets давно есть, призваные кстати все три версии HTTP заменить

    А там будет DRM? Или уже всё потоковое, через жабу скрипт с рекламой, который пока её не покажет, кина не будет?
    Как же собако стремно, что с каждым годом инет превращается в чертов Телик, который не смотрю с 7 класса. Зла не хватает на уродов-копирастов. И веб-мастеров, которые им подмахивают, думая лишь о сиюминутной наживе. Сейчас ещё пакет Яровой приняли сраный. Теперь перед тем как гуглить, надо думать будет, то ли пишешь.

     
  • 1.33, Аноним, 18:59, 10/07/2016 [ответить] [смотреть все]  
  • +2 +/
    Кто не читал - сам виноват:
    http://redis.io/topics/security
     
  • 1.48, Аноним, 22:03, 10/07/2016 [ответить] [смотреть все]  
  • +/
    Документацию не читал, но осуждаю - это нарушает полную открытость Web и Gnu.
     
     
  • 2.55, Аноним, 09:12, 11/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сударь вы о чем, Honeypot ?
     
  • 1.50, A.Stahl, 22:58, 10/07/2016 [ответить] [смотреть все]  
  • +4 +/
    90% проблемных серверов в руках админов подкроватных локалхостов.
    Еще 9.99% -- тестовые и/или экспериментальные серверы.
    Оставшаяся сотая процента это результат пьянства админов в результате которой злоумышленники смогут получить доступ к кешу сисек, писек и котиков.
    Короче -- спецам пофиг, а любителям нафиг.
    Жертв нет.
     
     
  • 2.61, anonymous, 01:11, 12/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Аминь?
     
     
  • 3.66, count0krsk, 20:48, 12/07/2016 [^] [ответить] [смотреть все]  
  • +/
    > Аминь?

    Акбар )) Ждём новый слив фоток знаменитостей на 10 Тб.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList