Linux下通过redis漏洞植入病毒的流程
经常看到有人在linux下被植入挖矿病毒,而植入病毒的方式多种多样,但通过redis漏洞的方式却是经常见到的,根本原因是系统管理者的安全意识匮乏。多的不说,咱们来看看具体的操作-----------
正好最近比较好奇,于是安装了一个redis蜜罐的捕获来展示如何通过漏洞来植入病毒。
原始日志比这个更多,但这里的片段足够展示整个攻击流程。因为有些人可能对redis命令不熟悉,以下我将逐步的讲解以下流程
这里设置了一个计划任务的内容,目的就是从远程的服务器下载一个植入病毒的脚本(http://helpdeskserver.epelcdn.com/dd210131/init.sh)。注意这里虽然是一行,但事实上执行的时候其实是2行。现在光到这里是没用的,因为现在这些数据还都保存在内存中,cron是没法执行的。
剩下的步骤就是设置计划任务脚本写入的目录并且恢复redis的备份。
当以上操作都完成的时候,redis在触发备份机制后就会开始往上面设置好的目录写入计划任务的脚本
而计划任务会在每分钟都去执行一次这个脚本并且触发下载病毒的机制。然后你的机器CPU就会开始飙涨了。
如果大家有兴趣可以下载看下init.sh这个脚本,里面有剩余安装病毒的全过程,并且还有狗咬狗的去删除自己的竞争对手的机制。
总结:
其实这个漏洞很封堵很简单,只要执行redis的用户没有权限往/var/spool下的目录能写入就能防止入侵。但由于很多人安装redis的时候都是从网上找了文章,启动的时候往往就是root用户直接执行,这样redis也就具有了root用户的权限。