The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"75% общедоступных серверов Redis поражены вредоносным ПО"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от opennews (??) on 02-Июн-18, 21:59 
Исследователи из компании Imperva проанализировали (https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../) состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило (https://www.shodan.io/search?query=port%3A6379) 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим  майнинг криптовалют.


Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был создан подставной honeypot-сервер, который был атакован менее чем через сутки после появления в сети. Суть зафиксированных на подставном сервере атак сводится к созданию в памяти пары ключ/значение с последующим экспортом данных в файл, размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной ФС для организации последующего удалённого входа на сервер. Примечательно, что в разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует об активности  ботнета, контролируемого одними и теми же злоумышленниками.

URL: https://www.imperva.com/blog/2018/06/new-research-shows-75-o.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48705

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 02-Июн-18, 21:59 
Наберут на работу в системные администраторы по блату, а потом сервера заражёнными оказываются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "75% общедоступных серверов Redis поражены вредоносным ПО"  –1 +/
Сообщение от SubGun (ok) on 02-Июн-18, 22:55 
Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться. Я уже и не помню, когда последний раз видел сервера в дмз. А если человек делает нат, оставляя открытым доступ, значит это ему нужно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от XoRe (ok) on 02-Июн-18, 23:07 
> Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться.

Виртуалка на хостинге (amazon, digitalocean, ...) в открытом доступе по внешнему ip.
"listen 0.0.0.0" есть, фаервола нет и привет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "75% общедоступных серверов Redis поражены вредоносным ПО"  –3 +/
Сообщение от Аноним (??) on 02-Июн-18, 23:59 
Это еще deops или уже нет?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "75% общедоступных серверов Redis поражены вредоносным ПО"  –2 +/
Сообщение от Григорий Федорович Конин on 03-Июн-18, 00:48 
> Виртуалка на хостинге (amazon, digitalocean, ...) в открытом доступе по внешнему ip.

"listen 0.0.0.0" есть, фаервола нет и привет.

Вы таки не забывайте что для этого вам ещё нужно в файрволле открыть порт!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Prototik (ok) on 03-Июн-18, 01:25 
Его для начала нужно включить, обычно там ACCEPT во все поля.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

44. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 03-Июн-18, 22:08 
в шапке это не так.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

50. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Анонимус2 on 04-Июн-18, 06:45 
Может я каким другим амазоном пользовался, но у меня был по-умолчанию DROP
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

46. "75% общедоступных серверов Redis поражены вредоносным ПО"  –1 +/
Сообщение от XoRe (ok) on 03-Июн-18, 22:16 
> Вы таки не забывайте что для этого вам ещё нужно в файрволле
> открыть порт!

Если вы не знали, в указанных мной хостерах виртуалкам обычно из коробки дается внешний ip адрес.
Т.е., все что имеет "listen 0.0.0.0", сразу доступно из интернета.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

53. "75% общедоступных серверов Redis поражены вредоносным ПО"  +1 +/
Сообщение от mickvav on 04-Июн-18, 10:48 
Это от лени. Чаще всего во всяких хаутушечках под "открыть порт" понимается операция "iptables -I INPUT -p tcp --dport 1234 -j ACCEPT". И чтобы уметь туда добавить "-s 12.34.56.78" нужно уже "man iptables" осилить. К тому же, "облачные технологии" подразумевают зачастую, что ip-ники при каждом деплое будут новые, а настраивать скрипты деплоя так, чтобы сервера с базами всегда знали ip-ники серверов с клиентами - еще сложнее, чем прочитать "man iptables". А городить vpn-ку, чтобы база ходила в туннеле - может показаться пустой тратой ценного CPU. Вот и имеем, то что имеем - девелоперы на локалхосте убеждаются, что "все работает", "админ" на аутсорсе "занедорого" "настроил" сайтик и свалил. Результат - печален.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

55. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от мимокрокодил_ноэтонеточно on 04-Июн-18, 11:40 
В амазоне по умолчанию все порты в мир закрыты. Так что таки да, постараться нужно при том очень сильно
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от ыы on 02-Июн-18, 23:08 
> Наберут на работу в системные администраторы по блату, а потом сервера заражёнными
> оказываются.

"
- а ты свою CRC давно проверял?
- а при чем тут моя CRC...ой!
" (с) анекдот из жизни компьютеров конца прошлого века

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "75% общедоступных серверов Redis поражены вредоносным ПО"  –1 +/
Сообщение от Xasd (ok) on 03-Июн-18, 17:20 
разжуй чуть-чуть..

CRC от чего?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

42. "75% общедоступных серверов Redis поражены вредоносным ПО"  +9 +/
Сообщение от уцсукмы on 03-Июн-18, 19:32 
Антивирус. Ты кто?
Вирус. Область данных!
Антивирус. А не вирус?
Вирус. Hи боже мой!
Антивирус. А зачем прерывания перехватываешь?
Вирус. Я?!
Антивирус. Вот же подпрограмма.
Вирус. Это не подпрограмма. Это цитата из Лао-цзы на языке оригинала в альтернативной кодировке.
Антивирус. А зачем EXE-файлы ищешь?
Вирус. А вдруг хозяин спросит: "А где мои ЕХЕ-файлы?" А я ему - вот они!
Антивирус. Сдается мне, что ты все-таки вирус.
Вирус. Hу ладно, только тебе признаюсь, только ты никому не говори! Hа самом деле я... антивирусная вакцина!
Антивирус. А зачем нужна антивирусная вакцина, если есть я?
Вирус. Откуда я знаю? У хозяина спроси.
Антивирус. А если я тебя на всякий случай все-таки грохну?
Вирус. А если я тебя?
Антивирус. Hе получится. У меня управление.
Вирус. А ты свою контрольную сумму давно пересчитывал?
Антивирус. А причем тут моя контрольная... ой!!!
Вирус. То-то же.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

9. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от lucentcode (ok) on 02-Июн-18, 23:37 
А где гарантия, что сисадмин там вообще был? Очень часто бывают варианты вроде: проект перерос уже шаред, давай на мощный VPS его. Перетащил разраб сайта с его владельцем сай, читают советы по оптимизации, видят что можно на VPS заюзать кэш и сессии в redis. Быстро ставят по кривым манам, особо не разбираясь, указывают 0.0.0.0 или внешний IP сервера в качестве интерфейса, запускают проект с кэшем и сессиями в redis и радуются.

Осваивать нормальную настройку redis, правила файрвола и т.п. разрабу нафиг не нужно. Он не админ, ему то что... Что заказчик попросил, то он и сделал.

А заказчик тупо сэкономил. Заплатить разрабу за перенос сайта на VPS и немного за дополнительные движения проще, чем разрабу за перенос платить, а затем пришлому админу за нормальную настройку сервисов на сервере. Так люди годами и живут, пока им письмо счасться не прилетит от саппортов хостинга, или IP адрес сервера не загремит в DNSBL какой-то, а то и в Google Safe browsing, потому что на серваке всё завирусовано будет по самое никуда и на него начнут прилетать жалобы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 03-Июн-18, 00:01 
Это был noops. Это ничего, людишки, скоро искусственный интеллект захавает вас всех!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

37. "75% общедоступных серверов Redis поражены вредоносным ПО"  +2 +/
Сообщение от Аноним (??) on 03-Июн-18, 17:45 
Скорее его через открытый порт нагнут и добывать руду заставят
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

26. "75% общедоступных серверов Redis поражены вредоносным ПО"  +2 +/
Сообщение от Аноним (??) on 03-Июн-18, 13:45 
Дык быстро же, рапид деплоймент во все поля у недобизнесов. Хипстота образок в докере развернула, и смузи пить ушла - красота! Все приколы вылезут чуть попозже.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

60. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 06-Июн-18, 08:10 
Taщемта, стандартный докер-образ редиса никаких открытых портов снаружи не держит, а другие контейнеры могут обращаться к нему по встроенному локальному DNS-резолверу.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 03-Июн-18, 17:06 
Серверы.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "75% общедоступных серверов Redis поражены вредоносным ПО"  –2 +/
Сообщение от Ю.Т. on 02-Июн-18, 22:39 
"Honeypot" это и есть "подставной" или "подсада".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "75% общедоступных серверов Redis поражены вредоносным ПО"  +8 +/
Сообщение от Аноним (??) on 03-Июн-18, 02:52 
> "Honeypot" это и есть "подставной" или "подсада".

Это сервер пчеловодов

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

56. "75% общедоступных серверов Redis поражены вредоносным ПО"  +1 +/
Сообщение от DeadLoco (ok) on 04-Июн-18, 11:41 
Это сервер виннипухов.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

8. "75% общедоступных серверов Redis поражены вредоносным ПО"  +4 +/
Сообщение от Аноним (??) on 02-Июн-18, 23:32 
Зато как приятно развернуть сервер в два клика и с наслаждением смотреть, как у коммандлайновых старпёров подгорает от зависти.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "75% общедоступных серверов Redis поражены вредоносным ПО"  +8 +/
Сообщение от Аноним (??) on 03-Июн-18, 00:03 
75% развернули в 2 клика и наслаждением смотрят. И когда школьники уже поумнеют?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "75% общедоступных серверов Redis поражены вредоносным ПО"  –2 +/
Сообщение от Аноним (??) on 03-Июн-18, 07:21 
Как раз двумя кликами безопаснее, т.к. меньше возможностей налажать)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 03-Июн-18, 10:38 
Тот, кто готовит сборку для установки в два клика, не может знать всех ваших обстоятельств. Если даже при этом вы считаете, что вы меньше знаете как и что надо сделать, то это... это печально.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 03-Июн-18, 10:57 
Да и к тому же, кто гововят пакеты, могут сами лажануться с умолчальными настройками.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

40. "75% общедоступных серверов Redis поражены вредоносным ПО"  –2 +/
Сообщение от Аноним (??) on 03-Июн-18, 18:51 
А вот и секта установки Генту в прод подъехала. Здравствуйте, ребята, чувствуйте себя как дома.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "75% общедоступных серверов Redis поражены вредоносным ПО"  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 03-Июн-18, 16:00 
> Зато как приятно развернуть сервер в два клика и с наслаждением смотреть,
> как у коммандлайновых старпёров подгорает от зависти.

Командлайновые старпёры пишут что-то вроде «redis-deploy W.X.Y.Z», [Enter], причём быстрее, чем хипстер попадёт своими кликами куда надо. А дальше командлайновые старпёры делают что-то ещё, пока скрипт (сценарий Ansible или что там ещё) разворачивает виртуалку/контейнер/сервис.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

47. "75% общедоступных серверов Redis поражены вредоносным ПО"  +2 +/
Сообщение от Аноним (??) on 03-Июн-18, 22:45 
>Зато как приятно снять входную дверь и с наслаждением смотреть, как по квартире шастают незнакомые люди.

исправил

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от An (??) on 03-Июн-18, 08:04 
Из года в год одно и то же
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним email(??) on 03-Июн-18, 12:16 
DevOps в чистом виде. Сколько я ни видывал девопсов, все недалёкие люди, помешанные на докерах, а как оно работает внутри они себе почти не представляют, даже настроить нжинкс перед вордпрессом на апаче (как синтетический пример) они не способны.

Пожинаем результаты девопсизации индустрии.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "75% общедоступных серверов Redis поражены вредоносным ПО"  +2 +/
Сообщение от Аноним (??) on 03-Июн-18, 17:49 
Если на смузи хватает то какая разница как там работает?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

39. "75% общедоступных серверов Redis поражены вредоносным ПО"  +2 +/
Сообщение от KonstantinB (ok) on 03-Июн-18, 18:25 
Это вопрос профессионализма.

Всегда были "сисадмины", которые кроме apt-get install, толком ничего не умели. Теперь они посмотрели видеокурсы по докеру и называют себя девопсами.

Профессионалы же освоили новые инструменты и применяют их там, где они нужны, а не потому что это модно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

45. "75% общедоступных серверов Redis поражены вредоносным ПО"  +1 +/
Сообщение от username (??) on 03-Июн-18, 22:09 
Плюсую, два разных мира.
Вопрос на собеседовании начинаю с механики namespaces в ядре. Девопсята смузихлебы сразу понимают что не туда попали. Часто уходят еще до конца со словами "я передумал" или "не думаю что мне здесь нравится")
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "75% общедоступных серверов Redis поражены вредоносным ПО"  –1 +/
Сообщение от KonstantinB (ok) on 03-Июн-18, 23:34 
Вообще, в изначальном понимании идея devops очень правильная. Смысл был в том, чтобы наладить нормальную коммуникацию между админами и разработчиками, чтобы они понимали друг друга: админ в такой схеме понимает программирование и умеет в автоматизацию, а разработчики поставляют готовый для деплоя продукт, а не свалку кода, которая кое-как работает на машине разработчика с десятью костылями. Помню, когда мы делали на аутсорсе небольшой заказ для довольно крупной компании, их админы, изначально встретившие меня недовольными выражениями лиц и морально готовившиеся разгребать очередное гумно, получив готовый для развертывания проект с документацией, примерами инит-скриптов, файлов конфигурации и утилиту для управления и мониторинга, были в культурном шоке. :)

Но в какой-то момент все это превратилось в известно что. Хотя многие хорошие специалисты тоже стали называть себя девопсами - так больше платят :)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "75% общедоступных серверов Redis поражены вредоносным ПО"  –1 +/
Сообщение от Dmitry77 (ok) on 04-Июн-18, 05:01 
terraform (https://www.terraform.io) стоящий инструмент?
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

51. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Andrey Mitrofanov on 04-Июн-18, 07:04 
> terraform (https://www.terraform.io) стоящий инструмент?

кабан, аджиль, девопс, https://zaitcev.livejournal.com/247391.html IaaC

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 04-Июн-18, 10:23 
> настроить нжинкс перед вордпрессом на апаче

как бы настроить это так что-бы оно умело одновременно https и http/правильно отдавало статику и не кэшировало то что не нужно ( да ещё и работало не требуя донастроек при всяких плагинах + могло обновляться ;) ) в принципе плохо выходит, а если ещё и 10-к vhost и не только wp на домене.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

54. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 04-Июн-18, 11:15 
Теперь везде насрано майненгскриптами, куда не ткнись везде щкольные явамайнеры в тырнет стращно теперь..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "75% общедоступных серверов Redis поражены вредоносным ПО"  +/
Сообщение от Аноним (??) on 04-Июн-18, 18:41 
А всего лишь нужно было не перекладывать вопросы безопасности на пользователей и не давать по дефолту принимать запросы без аутентификации. Всех людей не исправишь, а вот софт исправить - 5 копеек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру