收到阿里云告警信息
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uFPmKsoy-1603522477669)(D:\个人笔记\Untitled 1.assets\image-20201024123057642.png)]](https://img-blog.csdnimg.cn/20201024145450935.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU5MDM4OQ==,size_16,color_FFFFFF,t_70#pic_center)
看到镜像,容器,打开xshell,看看服务器上有什么容器
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R9Tykop5-1603522406544)(D:\个人笔记\Untitled 1.assets\image-20201024123148892.png)]](https://img-blog.csdnimg.cn/20201024145512223.png#pic_center)
果然,第一个容器并不是我添加的,本来想直接删掉的。不过又想了一下,万一有定时任务和镜像呢。我又看了一下镜像
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YC9AjsXK-1603522406560)(D:\个人笔记\Untitled 1.assets\image-20201024124833702.png)]](https://img-blog.csdnimg.cn/20201024145521639.png#pic_center)
有一个异常镜像
在网上搜到了关于介绍这个攻击的博客
https://blog.aquasec.com/container-attacks-on-redis-servers
这个镜像是4周前新发布的,作者文中也有提到。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WavMFxp9-1603522406587)(D:\个人笔记\Untitled 1.assets\image-20201024123605464.png)]](https://img-blog.csdnimg.cn/20201024145552305.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzU5MDM4OQ==,size_16,color_FFFFFF,t_70#pic_center)
However后面的重点
Kirito666 / pwndockerredis’攻击Redis服务器流程图
修复过程:
了解防御就要了解攻击,在网上寻找到批量提权未授权redis的py脚本
https://evi1cg.me/archives/hackredis.html
以及主作者的github项目https://github.com/Ridter/hackredis
可以看出关键就是这段匹配代码
ssh = pexpect.spawn('ssh root@%s -p %d' %(host,ssh_port))
i = ssh.expect('[#\$]',timeout=2)
分析得知实施攻击成功的条件就是
1.Redis服务使用ROOT账号启动
2.Redis服务无密码认证或者使用的是弱口令进行认证(爆破不是问题,我就用了4位数,哈哈)
3.服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。
以后的注意事项就是redis不要开放到公网上,通过内网访问。单独开一个用户,并给redis设置强口令。
好了,那就开始修复吧。首先关闭容器
为了防止定时任务,又看了几下(先不删镜像,说不定还有定时下载镜像的任务),顺便看一下定时任务
列一下进程,看看有无异常
tail -200f /var/log/cron命令查看定时任务日志
发现并无定时任务
删除容器,删除镜像
给redis换强口令
后记
我为了开发方便,把docker里的redis没有设置密码,且端口通过映射直接暴露在了公网上,结果就被打了。
虽然服务器上面只有些博客和demo服务,但以后还是要认真对待👍
692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
