The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.07.2016 10:14  Выявлено около 6000 скомпрометированных установок СУБД Redis

Как уже сообщалось ранее, из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based Security проанализировали публично доступные 30239 экземпляров СУБД Redis и пришли к выводу, что на 6338 серверах наблюдаются следы вредоносной активности.

В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 211 c root@dedi10243.hostsailor.com и т.п. SSH-ключ злоумышленников сохранён на сервере в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH и получить полный доступ к системе.

Появление данной активности соотносится с выявлением в прошлом году уязвимости (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не спешат применять обновление и в сети можно встретить 106 различных уязвимых версий Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной версии и применении надлежащих методов разграничения доступа. В простейшем случае факт компрометации можно выявить по наличию в БД ключа "crackit".

  1. Главная ссылка к новости (https://www.riskbasedsecurity....)
  2. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
  3. OpenNews: Около 40 тысяч серверов MongoDB доступны без аутентификации
  4. OpenNews: Ядро операционной системы стало узким местом при выполнении операций в СУБД Redis
  5. OpenNews: Выпуск СУБД Redis 3.2
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: redis
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:54, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Лол, хипсторы совсем обленились, даже конфиг сделать не могут.
     
     
  • 2.2, Аноним (-), 11:09, 10/07/2016 [^] [ответить]    [к модератору]
  • +5 +/
    А представь, как весело разработчикам дистрибутивов, которые в 2016 поставляют софт с открытым нараспашку Redis и доступом по SSH по паролю из коробки.
     
     
  • 3.3, angra (ok), 11:34, 10/07/2016 [^] [ответить]    [к модератору]
  • –2 +/
    Аргументы против парольного входа по ssh сможешь привести?
     
     
  • 4.4, anonymous (??), 11:45, 10/07/2016 [^] [ответить]    [к модератору]
  • +1 +/
    КТО СКАЗАЛ БРУТФОРС?
     
     
  • 5.6, Аноним (-), 12:03, 10/07/2016 [^] [ответить]    [к модератору]
  • +5 +/
    Кто сказал "Правильные пароли"? И тогда можно годами брутфорсить.
     
     
  • 6.11, й (?), 12:47, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    эм, скажем так: в "правильном пароле" у вас вряд ли будет больше 256 бит энтропии. а ключик двухкилобайтный. да и подбирать сложнее существенно.
     
     
  • 7.56, Аноним (-), 12:18, 11/07/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    В пароле и 128 хватит. Навсегда.
    А вот ключ скоро сломают квантовые компьютеры.
     
  • 5.8, Аноним (-), 12:06, 10/07/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Кто сказал файерволл? Ограничить количество новых коннектов для ssh в единицу времени не судьба?
     
     
  • 6.9, Аноним (-), 12:19, 10/07/2016 [^] [ответить]    [к модератору]  
  • +8 +/
    Есть вариант проще. Я на сервере в предприятии, где работаю, снизил нагрузку на проц на 10%, выбрав нестандартный порт для ssh. Сразу все брутфорсеры отвалились.
     
     
  • 7.51, Аноним (-), 23:02, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Сразу все брутфорсеры отвалились.

    почему?

     
     
  • 8.52, Аноним (-), 23:12, 10/07/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Потому что большинство брутфорсов делается ботами, которые просто сканят сеть и пробуют подключится к стандартному порту (например 22 для SSH). Двигаешь SSH на рандомный порт и все боты отваливаются.
     
  • 6.12, й (?), 12:48, 10/07/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    и не смочь попасть на сервер, когда кто-то другой активно подбирает пароль с дес... весь текст скрыт [показать]
     
  • 6.14, anonymous (??), 12:54, 10/07/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Я напомню: мы обсуждаем новость о гарантированном обнаружении 6k+ идиотов, которые не смогли добавить 'listen' в конфиг Redis. А ты мне про настройки firewall. LOL.
     
  • 6.15, anonymous (??), 12:57, 10/07/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    P S Не говоря уже о том, что security-by-default гораздо лучше, чем security-by... весь текст скрыт [показать]
     
  • 6.29, ъ (?), 17:43, 10/07/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Не флейма ради, но хотелось бы узнать, как имено искать доки в гугле, что бы это... весь текст скрыт [показать]
     
     
  • 7.30, Аноним (-), 18:21, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    iptables recent
    Способ в каком-то виде можно применить для аппаратных роутеров, только синтаксис другой будет.
     
  • 7.41, Аноним (-), 20:13, 10/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Ищи по iptables connlimit или iptables limit

    Вот пример из гугла на вскидку

    iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT


     
     
  • 8.64, count0krsk (ok), 20:32, 12/07/2016 [^] [ответить]     [к модератору]  
  • +/
    А у меня вообще ssh открывается на 5-значном порту, 1е 10000 как правило боты с... весь текст скрыт [показать]
     
  • 7.43, Аноним (-), 20:18, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Вот тебе портянка вдогонку.

    https://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-mo

     
  • 7.54, koblin (ok), 08:14, 11/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    fail2ban
     
  • 4.17, й (?), 13:00, 10/07/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    есть такая штука как аудит безопасности т е в логах я вижу в этот аккаунт вош... весь текст скрыт [показать]
     
     
  • 5.18, й (?), 13:02, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    ах, и да, несколько лет назад в openssh была эпичная дырка, позволяющая удалённо... весь текст скрыт [показать]
     
     
  • 6.23, angra (ok), 14:28, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    А перед этим была дыра с ключами в debian, так что теперь ключи тоже не использовать?
     
     
  • 7.35, й (?), 19:21, 10/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    скорее, debian, если вы помните суть той дыры.
     
     
  • 8.47, Аноним (-), 21:47, 10/07/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    Суть дыры сводилась к тому, что вместо использования ваниллы в дебиане пропатчил... весь текст скрыт [показать]
     
     
  • 9.58, Аноним (-), 14:25, 11/07/2016 [^] [ответить]    [к модератору]  
  • +/
    >>в дебиане пропатчили openssl по самые ушки.

    Справедливости ради, посмотри, что там патчили. Инициализация локальной переменной перед её использованием.

     
  • 5.22, angra (ok), 14:27, 10/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Я просил аргументы против паролей, а не за ключи. Наличие аутентификации по паролям не запрещает использовать аутентификацию по ключам. Так что все аргументы мимо.
     
     
  • 6.31, Аноним (-), 18:23, 10/07/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Без паролей сон более длительный и глубокий ... весь текст скрыт [показать]
     
  • 6.36, й (?), 19:31, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    ну, а смысл использовать пароль, если все всё равно ходят по ключам когда в 201... весь текст скрыт [показать]
     
     
  • 7.40, angra (ok), 20:11, 10/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > ну, а смысл использовать пароль, если все всё равно ходят по ключам?

    1. Возможность зайти на сервер не с основной машины.
    2. Передать сервер клиенту.

     
     
  • 8.44, й (?), 20:23, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    ага, из интернет-кафе с кейлоггером в комплекте для такого случая можно сгенери... весь текст скрыт [показать]
     
     
  • 9.46, angra (ok), 21:11, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    1 То есть кроме как своя машина и интернет-кафе других вариантов у вас нет Мои... весь текст скрыт [показать]
     
     
  • 10.67, XoRe (ok), 20:50, 12/07/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Можно иметь приватный ключ и не на основной машине При желании, можно наделать ... весь текст скрыт [показать]
     
  • 9.63, scorry (ok), 10:59, 12/07/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Ты, милок, и клавиатуру к народу поворачиваешь, небось, когда пароли набираешь, ... весь текст скрыт [показать]
     
  • 5.25, anonymous (??), 15:40, 10/07/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    Очень интересно узнать как Вы охарактеризуете следующую ситуацию есть такая шту... весь текст скрыт [показать]
     
     
  • 6.28, angra (ok), 17:40, 10/07/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Данная ситуация характеризуется просто кто-то очень плохо разобрался в том, что... весь текст скрыт [показать]
     
  • 6.38, й (?), 19:45, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    очень нецензурно охарактеризую да, я видел случаи, когда люди не знали, что клю... весь текст скрыт [показать]
     
     
  • 7.60, anonymous (??), 01:04, 12/07/2016 [^] [ответить]     [к модератору]  
  • +/
    Не думал что намёк получится настолько тонким У Вас какая-то ошибка cp tmp n... весь текст скрыт [показать]
     
     
  • 8.68, й (?), 21:20, 12/07/2016 [^] [ответить]     [к модератору]  
  • +/
    эм, ещё раз вводные A и B оба используют аккаунт Y нам надо отозвать доступы у... весь текст скрыт [показать]
     
  • 5.27, Аноним (-), 15:51, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    По поводу рассылки паролей, например: https://github.com/zalora/juandelacosa
     
     
  • 6.39, й (?), 20:09, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    вы это серьёзно во-первых, юзер, имеющий хоть какой доступ к серверу будь то е... весь текст скрыт [показать]
     
  • 4.53, Аноним (-), 04:44, 11/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    У меня есть железобетонный аргумент.

    Хочет человек получить ssh-доступ на сервер, говоришь человеку "дай pubkey", если он не понимает, чего я хочу - нечего ему на сервере делать.

     
     
  • 5.62, sendlettersmail.ru (?), 10:53, 12/07/2016 [^] [ответить]     [к модератору]  
  • +/
    Высылай IP ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCgIuuS4 bKXbm8Cbg61K33TeJiJ cxo... весь текст скрыт [показать]
     
     
  • 6.69, й (?), 21:23, 12/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Высылай IP

    127.0.0.1

     
  • 3.7, Аноним (-), 12:04, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Они тебе что должны что-то или ты им деньги платишь? Они поставляют дефолтную конфигурацию, которая позволяет быстро поднять сервис. Дальше ты уже сам.
     
     
  • 4.10, Аноним (-), 12:20, 10/07/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Можно подумать, что платящие получат безопасную конфигурацию.

    А потом кто-то, используя хакнутые компьютеры, имеет сервера Gentoo, Debian и RedHat.

     
  • 3.20, й (?), 13:18, 10/07/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    есть ещё такая штука как vnc предустановленная что в маке, что в убунте так во... весь текст скрыт [показать]
     
     
  • 4.32, Аноним (-), 18:28, 10/07/2016 [^] [ответить]     [к модератору]  
  • +/
    Короткие пароли - не самая большая его проблема Оно тормозное, да и реализации ... весь текст скрыт [показать]
     
     
  • 5.37, й (?), 19:35, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    я про это же. редис по дефолту слушает только 127.0.0.1 во всех распространённых дистрибутивах. т.е. чтобы выставить его всем в интернет -- нужно постараться. ну, и отсутствие головы.
     
  • 2.16, Наркоман (?), 12:58, 10/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты каждое утро встаёшь и весь день начинаешь ныть про хипстеров в комментариях к новостям на опеннете. Как оно, интересно?
     
  • 2.24, РОСКОМУЗОР (?), 15:06, 10/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Ты кроме хипстОров другие слова знаешь?
     
  • 1.5, depeche (??), 11:51, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вы же и сказали. Относительно серьезные несловарные пароли ломаются долго.
     
  • 1.21, t28 (?), 13:33, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB,
    >Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы,
    >отдавая свои данные всем желающим без аутентификации.

    В CentOS-е default config memcached такой, что по умолчанию слушается порт на INADDR_ANY. Eстественно, безо всякой аутентификации доступен извне сразу после запуска. :)

     
  • 1.26, Аноним (-), 15:48, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    А ещё есть идиоты, которые используют TCP  на локалхосте.
     
     
  • 2.34, Crazy Alex (??), 19:12, 10/07/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Редис и подобные по большому счёту не рассчитаны на использование на локалхосте. Поэтому даже если по бедности или для разработки их поднимают на одной машине с клиентом - логично всю конфу делать под TCP, чтобы потом было проще растащить на разные хосты.
     
  • 2.42, angra (ok), 20:18, 10/07/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    Ну а TCP уже чем не угодил?
    Школоло узнало про unix socket?
     
     
  • 3.49, Аноним (-), 22:11, 10/07/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Чем вам unix socket не нравится помимо некроссплатформенности?
     
     
  • 4.57, angra (ok), 13:26, 11/07/2016 [^] [ответить]    [к модератору]  
  • +/
    С чего вы взяли, что они мне не нравятся? Отличная вещь, активно использую, также как и TCP/IP сокеты и другие варианты IPC. А если посмотреть выше по треду, то я еще и использую для аутенификации как ключи, так и пароли. Ужас, правда? Настоящее школоло должно выбрать только что-то одно и необосновано называть идиотами всех, кто использует другое.
     
  • 4.59, Аноним (-), 14:28, 11/07/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    "для кросплатформенности" WebSockets давно есть, призваные кстати все три версии HTTP заменить, но увы. "неосиляторов" - преобладание в вебмастеринге и пр.
     
     
  • 5.65, count0krsk (ok), 20:45, 12/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > "для кросплатформенности" WebSockets давно есть, призваные кстати все три версии HTTP заменить

    А там будет DRM? Или уже всё потоковое, через жабу скрипт с рекламой, который пока её не покажет, кина не будет?
    Как же собако стремно, что с каждым годом инет превращается в чертов Телик, который не смотрю с 7 класса. Зла не хватает на уродов-копирастов. И веб-мастеров, которые им подмахивают, думая лишь о сиюминутной наживе. Сейчас ещё пакет Яровой приняли сраный. Теперь перед тем как гуглить, надо думать будет, то ли пишешь.

     
  • 1.33, Аноним (-), 18:59, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Кто не читал - сам виноват:
    http://redis.io/topics/security
     
  • 1.48, Аноним (-), 22:03, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Документацию не читал, но осуждаю - это нарушает полную открытость Web и Gnu.
     
     
  • 2.55, Аноним (-), 09:12, 11/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Сударь вы о чем, Honeypot ?
     
  • 1.50, A.Stahl (ok), 22:58, 10/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    90% проблемных серверов в руках админов подкроватных локалхостов.
    Еще 9.99% -- тестовые и/или экспериментальные серверы.
    Оставшаяся сотая процента это результат пьянства админов в результате которой злоумышленники смогут получить доступ к кешу сисек, писек и котиков.
    Короче -- спецам пофиг, а любителям нафиг.
    Жертв нет.
     
     
  • 2.61, anonymous (??), 01:11, 12/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Аминь?
     
     
  • 3.66, count0krsk (ok), 20:48, 12/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Аминь?

    Акбар )) Ждём новый слив фоток знаменитостей на 10 Тб.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor