V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Andy1999
V2EX  ›  程序员

Redis 未授权访问配合 SSH key 登录已中枪

  •  
  •   Andy1999 · 2015-11-11 19:25:33 +08:00 via iPhone · 4481 次点击
    这是一个创建于 3277 天前的主题,其中的信息可能已经有所发展或是发生改变。
    事先申明:
    1. 这台服务器开着的 Redis 为空密绑定到公网但是无任何应用
    2. 本身是 SSH KEY 登录的 不存在密钥错误问题

    很惨,我刚黑掉别人的一台 Redis 服务器然后想上自己的服务器改点文件
    随后发现 SSH 连不上 报错 Key 不对(之前肯定正确)

    想了一下怀疑和之前爆出的 Redis 空密码登录 VPS 有关。
    为了验证自己的猜想,执行了 redis-cli -h ip
    我最怕的事情发生了 果然是空密并且监听在公网 IP 上。

    总结:
    想了一下为什么会发生这样的问题,原来是上次测试完 Redis 在服务器上的性能 Drop 了数据库但没关掉进程导致被黑
    处理方案:
    VNC 重新分发了私钥下去,可以登录
    并且我已经将所有测试机都添加了 nologin 用户, bind 127.0.0.1 以及加密

    这个事件告诉我们,千万别在公网上做这么不安全的事情,说不准你就被黑了!
    26 条回复    2015-11-12 18:46:14 +08:00
    humiaozuzu
        1
    humiaozuzu  
       2015-11-11 19:35:37 +08:00
    看到公网 ip 了,不担心被 D 吗 = =
    nlzy
        2
    nlzy  
       2015-11-11 19:48:52 +08:00 via iPhone
    这个故事告诉我们
    服务不要用 root 跑
    服务器不要开放所有端口
    Andy1999
        3
    Andy1999  
    OP
       2015-11-11 20:10:27 +08:00 via iPhone
    @humiaozuzu 感谢提醒 已换内网


    @nlzy 现在坑惨了 我替换了私钥都登不上去
    kendetrics
        4
    kendetrics  
       2015-11-11 20:15:37 +08:00
    “我刚黑掉别人的一台 Redis 服务器”

    扑通,大神你还收徒么
    skydiver
        5
    skydiver  
       2015-11-11 20:17:23 +08:00
    redis 有什么漏洞?
    forever139
        6
    forever139  
       2015-11-11 20:18:31 +08:00
    昨天就已经发现 redis 里面存了一个 crackit 的 string key ,然后值是一个 ssh key 的公钥。然后搜索下就发现作者在几天前就在说了 http://antirez.com/news/96
    kn007
        7
    kn007  
       2015-11-11 20:24:17 +08:00   ❤️ 1
    我其实想说一句。。。年轻真好。。。
    yexm0
        8
    yexm0  
       2015-11-11 20:26:39 +08:00
    “我刚黑掉别人的一台 Redis 服务器”
    要不要报警呢
    Andy1999
        9
    Andy1999  
    OP
       2015-11-11 20:42:20 +08:00 via iPhone
    @kendetrics
    @skydiver
    @yexm0 Redis crackit
    其实基本无难度的……
    cmheia
        10
    cmheia  
       2015-11-11 21:34:03 +08:00 via Android
    这是被对方黑回来了吗→_→
    Andy1999
        11
    Andy1999  
    OP
       2015-11-11 21:49:57 +08:00
    @cmheia hhhhhhhhhhhhhhhh 我是疏忽了。。。 真的疏忽了测试完没关掉 目前联系腾讯云让他们帮我把 key 弄掉重装了
    wbsdty331
        12
    wbsdty331  
       2015-11-11 21:53:44 +08:00
    不开 Redis 的表示无影响
    你的 ssh key 是多少位加密的
    Andy1999
        13
    Andy1999  
    OP
       2015-11-11 21:57:29 +08:00
    @wbsdty331 4096 吧
    mupeng
        14
    mupeng  
       2015-11-11 22:35:29 +08:00
    这个截图是 iphone 的什么软件?
    Keita1314
        15
    Keita1314  
       2015-11-11 23:11:05 +08:00
    @Andy1999 我也想知道截图是什么软件
    wbsdty331
        16
    wbsdty331  
       2015-11-11 23:15:20 +08:00
    @Andy1999 我当时用 8192 位的 dsa 放手机上的 Connectbot 不认
    Andy1999
        17
    Andy1999  
    OP
       2015-11-11 23:57:22 +08:00 via iPhone
    @mupeng serverauditor
    @Keita1314
    @wbsdty331 换 2048
    Mush
        18
    Mush  
       2015-11-12 00:43:43 +08:00
    上午的时候盆友说他们公司的 redis 数据全没了, 让我看看, 我就登上去一看, 发现各种诡异情况, 后来一查发现是个漏洞. 好在我司都是用 docker, 最坏的情况是数据丢失几个小时的, 然而比较谨慎的我们都配置了密码. 刚才还收到了 Ucloud 的电话, 询问我们有没有不安全因素.
    Andy1999
        19
    Andy1999  
    OP
       2015-11-12 00:44:53 +08:00 via iPhone
    @Mush 其实不能算漏洞 你们 bind 了 0.0.0.0 然后空密被清空自然很正常啦
    Mush
        20
    Mush  
       2015-11-12 00:47:02 +08:00
    @Andy1999 rdb 文件可以 dump 到.ssh 目录感觉是个不安全因素
    msg7086
        21
    msg7086  
       2015-11-12 01:02:19 +08:00
    @Mush 说过很多次了,用 root 运行 daemon 才是不安全因素。
    你给了程序最高权限,程序为啥不能 dump 到系统目录里……
    cloudzhou
        22
    cloudzhou  
       2015-11-12 10:49:18 +08:00
    最最简单的,难道不应该使用 iptables 吗?只把需要的端口开放出来
    yzimhao
        23
    yzimhao  
       2015-11-12 12:58:12 +08:00
    刚刚扫一下楼主的这个 ip 段 发现了 5 台 redis 都绑定到公网 ip 了

    尝试了一台成功 root 登陆
    Andy1999
        24
    Andy1999  
    OP
       2015-11-12 14:53:03 +08:00 via iPhone
    @yzimhao 115.159.44.* 这个段吗
    yzimhao
        25
    yzimhao  
       2015-11-12 14:59:07 +08:00
    @Andy1999 是的
    changqingshuya
        26
    changqingshuya  
       2015-11-12 18:46:14 +08:00 via iPhone
    中枪…赶紧把防火墙搞上…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1407 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:34 · PVG 01:34 · LAX 10:34 · JFK 13:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.