The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

75% общедоступных серверов Redis поражены вредоносным ПО

02.06.2018 20:38

Исследователи из компании Imperva проанализировали состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим майнинг криптовалют.

Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был создан подставной сервер (honeypot), который был атакован менее чем через сутки после появления в сети. Суть зафиксированных на подставном сервере атак сводится к созданию в памяти пары ключ/значение с последующим экспортом данных в файл, размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной ФС для организации последующего удалённого входа на сервер. Примечательно, что в разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует об активности ботнета, контролируемого одними и теми же злоумышленниками.



  1. Главная ссылка к новости (https://www.imperva.com/blog/2...)
  2. OpenNews: Выпуск СУБД Redis 4.0 с новым движком репликации и поддержкой модулей
  3. OpenNews: Критическая уязвимость в СУБД Redis
  4. OpenNews: Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют
  5. OpenNews: Выявлено около 6000 скомпрометированных установок СУБД Redis
  6. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48705-redis
Ключевые слова: redis
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:59, 02/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наберут на работу в системные администраторы по блату, а потом сервера заражёнными оказываются.
     
     
  • 2.5, SubGun (ok), 22:55, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться. Я уже и не помню, когда последний раз видел сервера в дмз. А если человек делает нат, оставляя открытым доступ, значит это ему нужно.
     
     
  • 3.6, XoRe (ok), 23:07, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться.

    Виртуалка на хостинге (amazon, digitalocean, ...) в открытом доступе по внешнему ip.
    "listen 0.0.0.0" есть, фаервола нет и привет.

     
     
  • 4.10, Аноним (-), 23:59, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это еще deops или уже нет?
     
  • 4.13, Григорий Федорович Конин (?), 00:48, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Виртуалка на хостинге (amazon, digitalocean, ...) в открытом доступе по внешнему ip.

    "listen 0.0.0.0" есть, фаервола нет и привет.

    Вы таки не забывайте что для этого вам ещё нужно в файрволле открыть порт!

     
     
  • 5.14, Prototik (ok), 01:25, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Его для начала нужно включить, обычно там ACCEPT во все поля.
     
     
  • 6.44, Аноним (-), 22:08, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в шапке это не так.
     
  • 6.50, Анонимус2 (?), 06:45, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может я каким другим амазоном пользовался, но у меня был по-умолчанию DROP
     
  • 5.46, XoRe (ok), 22:16, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы таки не забывайте что для этого вам ещё нужно в файрволле
    > открыть порт!

    Если вы не знали, в указанных мной хостерах виртуалкам обычно из коробки дается внешний ip адрес.
    Т.е., все что имеет "listen 0.0.0.0", сразу доступно из интернета.

     
     
  • 6.53, mickvav (?), 10:48, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это от лени. Чаще всего во всяких хаутушечках под "открыть порт" понимается операция "iptables -I INPUT -p tcp --dport 1234 -j ACCEPT". И чтобы уметь туда добавить "-s 12.34.56.78" нужно уже "man iptables" осилить. К тому же, "облачные технологии" подразумевают зачастую, что ip-ники при каждом деплое будут новые, а настраивать скрипты деплоя так, чтобы сервера с базами всегда знали ip-ники серверов с клиентами - еще сложнее, чем прочитать "man iptables". А городить vpn-ку, чтобы база ходила в туннеле - может показаться пустой тратой ценного CPU. Вот и имеем, то что имеем - девелоперы на локалхосте убеждаются, что "все работает", "админ" на аутсорсе "занедорого" "настроил" сайтик и свалил. Результат - печален.
     
  • 4.55, мимокрокодил_ноэтонеточно (?), 11:40, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В амазоне по умолчанию все порты в мир закрыты. Так что таки да, постараться нужно при том очень сильно
     
  • 2.7, ыы (?), 23:08, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Наберут на работу в системные администраторы по блату, а потом сервера заражёнными
    > оказываются.

    "
    - а ты свою CRC давно проверял?
    - а при чем тут моя CRC...ой!
    " (с) анекдот из жизни компьютеров конца прошлого века

     
     
  • 3.36, Xasd (ok), 17:20, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    разжуй чуть-чуть..

    CRC от чего?

     
     
  • 4.42, уцсукмы (?), 19:32, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Антивирус. Ты кто?
    Вирус. Область данных!
    Антивирус. А не вирус?
    Вирус. Hи боже мой!
    Антивирус. А зачем прерывания перехватываешь?
    Вирус. Я?!
    Антивирус. Вот же подпрограмма.
    Вирус. Это не подпрограмма. Это цитата из Лао-цзы на языке оригинала в альтернативной кодировке.
    Антивирус. А зачем EXE-файлы ищешь?
    Вирус. А вдруг хозяин спросит: "А где мои ЕХЕ-файлы?" А я ему - вот они!
    Антивирус. Сдается мне, что ты все-таки вирус.
    Вирус. Hу ладно, только тебе признаюсь, только ты никому не говори! Hа самом деле я... антивирусная вакцина!
    Антивирус. А зачем нужна антивирусная вакцина, если есть я?
    Вирус. Откуда я знаю? У хозяина спроси.
    Антивирус. А если я тебя на всякий случай все-таки грохну?
    Вирус. А если я тебя?
    Антивирус. Hе получится. У меня управление.
    Вирус. А ты свою контрольную сумму давно пересчитывал?
    Антивирус. А причем тут моя контрольная... ой!!!
    Вирус. То-то же.
     
  • 2.9, lucentcode (ok), 23:37, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А где гарантия, что сисадмин там вообще был? Очень часто бывают варианты вроде: проект перерос уже шаред, давай на мощный VPS его. Перетащил разраб сайта с его владельцем сай, читают советы по оптимизации, видят что можно на VPS заюзать кэш и сессии в redis. Быстро ставят по кривым манам, особо не разбираясь, указывают 0.0.0.0 или внешний IP сервера в качестве интерфейса, запускают проект с кэшем и сессиями в redis и радуются.

    Осваивать нормальную настройку redis, правила файрвола и т.п. разрабу нафиг не нужно. Он не админ, ему то что... Что заказчик попросил, то он и сделал.

    А заказчик тупо сэкономил. Заплатить разрабу за перенос сайта на VPS и немного за дополнительные движения проще, чем разрабу за перенос платить, а затем пришлому админу за нормальную настройку сервисов на сервере. Так люди годами и живут, пока им письмо счасться не прилетит от саппортов хостинга, или IP адрес сервера не загремит в DNSBL какой-то, а то и в Google Safe browsing, потому что на серваке всё завирусовано будет по самое никуда и на него начнут прилетать жалобы.

     
     
  • 3.11, Аноним (-), 00:01, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это был noops. Это ничего, людишки, скоро искусственный интеллект захавает вас всех!
     
     
  • 4.37, Аноним (-), 17:45, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Скорее его через открытый порт нагнут и добывать руду заставят
     
  • 2.26, Аноним (-), 13:45, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дык быстро же, рапид деплоймент во все поля у недобизнесов. Хипстота образок в докере развернула, и смузи пить ушла - красота! Все приколы вылезут чуть попозже.
     
     
  • 3.60, Аноним (-), 08:10, 06/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Taщемта, стандартный докер-образ редиса никаких открытых портов снаружи не держит, а другие контейнеры могут обращаться к нему по встроенному локальному DNS-резолверу.
     
  • 2.34, Аноним (-), 17:06, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Серверы.
     

  • 1.4, Ю.Т. (?), 22:39, 02/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "Honeypot" это и есть "подставной" или "подсада".
     
     
  • 2.15, Аноним (-), 02:52, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > "Honeypot" это и есть "подставной" или "подсада".

    Это сервер пчеловодов

     
     
  • 3.56, DeadLoco (ok), 11:41, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это сервер виннипухов.
     

  • 1.8, Аноним (-), 23:32, 02/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Зато как приятно развернуть сервер в два клика и с наслаждением смотреть, как у коммандлайновых старпёров подгорает от зависти.
     
     
  • 2.12, Аноним (-), 00:03, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    75% развернули в 2 клика и наслаждением смотрят. И когда школьники уже поумнеют?
     
     
  • 3.16, Аноним (-), 07:21, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как раз двумя кликами безопаснее, т.к. меньше возможностей налажать)
     
     
  • 4.19, Аноним (-), 10:38, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тот, кто готовит сборку для установки в два клика, не может знать всех ваших обстоятельств. Если даже при этом вы считаете, что вы меньше знаете как и что надо сделать, то это... это печально.
     
     
  • 5.22, Аноним (-), 10:57, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да и к тому же, кто гововят пакеты, могут сами лажануться с умолчальными настройками.
     
     
  • 6.40, Аноним (-), 18:51, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А вот и секта установки Генту в прод подъехала. Здравствуйте, ребята, чувствуйте себя как дома.
     
  • 2.30, PereresusNeVlezaetBuggy (ok), 16:00, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зато как приятно развернуть сервер в два клика и с наслаждением смотреть,
    > как у коммандлайновых старпёров подгорает от зависти.

    Командлайновые старпёры пишут что-то вроде «redis-deploy W.X.Y.Z», [Enter], причём быстрее, чем хипстер попадёт своими кликами куда надо. А дальше командлайновые старпёры делают что-то ещё, пока скрипт (сценарий Ansible или что там ещё) разворачивает виртуалку/контейнер/сервис.

     
  • 2.47, Аноним (-), 22:45, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Зато как приятно снять входную дверь и с наслаждением смотреть, как по квартире шастают незнакомые люди.

    исправил

     

  • 1.17, An (??), 08:04, 03/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из года в год одно и то же
     
  • 1.24, Аноним (24), 12:16, 03/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DevOps в чистом виде. Сколько я ни видывал девопсов, все недалёкие люди, помешанные на докерах, а как оно работает внутри они себе почти не представляют, даже настроить нжинкс перед вордпрессом на апаче (как синтетический пример) они не способны.

    Пожинаем результаты девопсизации индустрии.

     
     
  • 2.38, Аноним (-), 17:49, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если на смузи хватает то какая разница как там работает?
     
  • 2.39, KonstantinB (ok), 18:25, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это вопрос профессионализма.

    Всегда были "сисадмины", которые кроме apt-get install, толком ничего не умели. Теперь они посмотрели видеокурсы по докеру и называют себя девопсами.

    Профессионалы же освоили новые инструменты и применяют их там, где они нужны, а не потому что это модно.

     
     
  • 3.45, username (??), 22:09, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Плюсую, два разных мира.
    Вопрос на собеседовании начинаю с механики namespaces в ядре. Девопсята смузихлебы сразу понимают что не туда попали. Часто уходят еще до конца со словами "я передумал" или "не думаю что мне здесь нравится")
     
     
  • 4.48, KonstantinB (ok), 23:34, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще, в изначальном понимании идея devops очень правильная. Смысл был в том, чтобы наладить нормальную коммуникацию между админами и разработчиками, чтобы они понимали друг друга: админ в такой схеме понимает программирование и умеет в автоматизацию, а разработчики поставляют готовый для деплоя продукт, а не свалку кода, которая кое-как работает на машине разработчика с десятью костылями. Помню, когда мы делали на аутсорсе небольшой заказ для довольно крупной компании, их админы, изначально встретившие меня недовольными выражениями лиц и морально готовившиеся разгребать очередное гумно, получив готовый для развертывания проект с документацией, примерами инит-скриптов, файлов конфигурации и утилиту для управления и мониторинга, были в культурном шоке. :)

    Но в какой-то момент все это превратилось в известно что. Хотя многие хорошие специалисты тоже стали называть себя девопсами - так больше платят :)

     
     
  • 5.49, Dmitry77 (ok), 05:01, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    terraform (https://www.terraform.io) стоящий инструмент?
     
     
  • 6.51, Andrey Mitrofanov (?), 07:04, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > terraform (https://www.terraform.io) стоящий инструмент?

    кабан, аджиль, девопс, https://zaitcev.livejournal.com/247391.html IaaC

     
  • 2.52, Аноним (-), 10:23, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > настроить нжинкс перед вордпрессом на апаче

    как бы настроить это так что-бы оно умело одновременно https и http/правильно отдавало статику и не кэшировало то что не нужно ( да ещё и работало не требуя донастроек при всяких плагинах + могло обновляться ;) ) в принципе плохо выходит, а если ещё и 10-к vhost и не только wp на домене.

     

  • 1.54, Аноним (-), 11:15, 04/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь везде насрано майненгскриптами, куда не ткнись везде щкольные явамайнеры в тырнет стращно теперь..
     
  • 1.57, Аноним (-), 18:41, 04/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А всего лишь нужно было не перекладывать вопросы безопасности на пользователей и не давать по дефолту принимать запросы без аутентификации. Всех людей не исправишь, а вот софт исправить - 5 копеек.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру