收到阿里云告警信息
看到镜像,容器,打开xshell,看看服务器上有什么容器
果然,第一个容器并不是我添加的,本来想直接删掉的。不过又想了一下,万一有定时任务和镜像呢。我又看了一下镜像
有一个异常镜像
在网上搜到了关于介绍这个攻击的博客
https://blog.aquasec.com/container-attacks-on-redis-servers
这个镜像是4周前新发布的,作者文中也有提到。
However后面的重点
Kirito666 / pwndockerredis’攻击Redis服务器流程图
修复过程:
了解防御就要了解攻击,在网上寻找到批量提权未授权redis的py脚本
https://evi1cg.me/archives/hackredis.html
以及主作者的github项目https://github.com/Ridter/hackredis
可以看出关键就是这段匹配代码
ssh = pexpect.spawn('ssh root@%s -p %d' %(host,ssh_port))
i = ssh.expect('[#\$]',timeout=2)
分析得知实施攻击成功的条件就是
1.Redis服务使用ROOT账号启动
2.Redis服务无密码认证或者使用的是弱口令进行认证(爆破不是问题,我就用了4位数,哈哈)
3.服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器。
以后的注意事项就是redis不要开放到公网上,通过内网访问。单独开一个用户,并给redis设置强口令。
好了,那就开始修复吧。首先关闭容器
为了防止定时任务,又看了几下(先不删镜像,说不定还有定时下载镜像的任务),顺便看一下定时任务
列一下进程,看看有无异常
tail -200f /var/log/cron
命令查看定时任务日志
发现并无定时任务
删除容器,删除镜像
给redis换强口令
后记
我为了开发方便,把docker里的redis没有设置密码,且端口通过映射直接暴露在了公网上,结果就被打了。
虽然服务器上面只有些博客和demo服务,但以后还是要认真对待👍