The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.06.2018 20:38  75% общедоступных серверов Redis поражены вредоносным ПО

Исследователи из компании Imperva проанализировали состояние публично доступных серверов Redis, из-за недосмотра или ошибки конфигурации принимающих запросы из глобальной сети без аутентификации. Сканирование открытого порта 6379 в сервисе Shodan выявило 72 тысячи принимающих соединения серверов, из которых только 10 тысяч корректно смогли обработать запрос без ошибки. Проверка специфичных для известного вредоносного ПО ключей на ответивших Redis-серверах показала, что 75% из них поражены вредоносным ПО, как правило выполняющим майнинг криптовалют.

Для определения связанных с вредоносным ПО ключей и изучения поведения атакующих был создан подставной сервер (honeypot), который был атакован менее чем через сутки после появления в сети. Суть зафиксированных на подставном сервере атак сводится к созданию в памяти пары ключ/значение с последующим экспортом данных в файл, размещённый в доступных на запись каталогах со сценариями автоматического выполнения заданий, таких как /var/spool/cron/crontab и /etc/crontabs. Как правило атакующие запускали код для загрузки и запуска систем майнинга и подменяли ssh-ключи в локальной ФС для организации последующего удалённого входа на сервер. Примечательно, что в разных зафиксированных атаках сохранялись идентичные ssh-ключи, что свидетельствует об активности ботнета, контролируемого одними и теми же злоумышленниками.



  1. Главная ссылка к новости (https://www.imperva.com/blog/2...)
  2. OpenNews: Выпуск СУБД Redis 4.0 с новым движком репликации и поддержкой модулей
  3. OpenNews: Критическая уязвимость в СУБД Redis
  4. OpenNews: Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга криптовалют
  5. OpenNews: Выявлено около 6000 скомпрометированных установок СУБД Redis
  6. OpenNews: Некорректно настроенные серверы MongoDB являются источником утечки 684 Тб данных
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: redis
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 21:59, 02/06/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Наберут на работу в системные администраторы по блату, а потом сервера заражёнными оказываются.
     
     
  • 2.5, SubGun (ok), 22:55, 02/06/2018 [^] [ответить]     [к модератору]
  • –1 +/
    Даже по блату, чтобы выставить сервера в открытый доступ, надо постараться Я уж... весь текст скрыт [показать]
     
     
  • 3.6, XoRe (ok), 23:07, 02/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Виртуалка на хостинге amazon, digitalocean, в открытом доступе по внешнему... весь текст скрыт [показать]
     
     
  • 4.10, Аноним (-), 23:59, 02/06/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Это еще deops или уже нет?
     
  • 4.13, Григорий Федорович Конин (?), 00:48, 03/06/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    listen 0 0 0 0 есть, фаервола нет и привет Вы таки не забывайте что для этог... весь текст скрыт [показать]
     
     
  • 5.14, Prototik (ok), 01:25, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Его для начала нужно включить, обычно там ACCEPT во все поля.
     
     
  • 6.44, Аноним (-), 22:08, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    в шапке это не так.
     
  • 6.50, Анонимус2 (?), 06:45, 04/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Может я каким другим амазоном пользовался, но у меня был по-умолчанию DROP
     
  • 5.46, XoRe (ok), 22:16, 03/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Если вы не знали, в указанных мной хостерах виртуалкам обычно из коробки дается ... весь текст скрыт [показать]
     
     
  • 6.53, mickvav (?), 10:48, 04/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Это от лени Чаще всего во всяких хаутушечках под открыть порт понимается опер... весь текст скрыт [показать]
     
  • 4.55, мимокрокодил_ноэтонеточно (?), 11:40, 04/06/2018 [^] [ответить]    [к модератору]  
  • +/
    В амазоне по умолчанию все порты в мир закрыты. Так что таки да, постараться нужно при том очень сильно
     
  • 2.7, ыы (?), 23:08, 02/06/2018 [^] [ответить]     [к модератору]  
  • +/
    - а ты свою CRC давно проверял - а при чем тут моя CRC ой с анекдот из... весь текст скрыт [показать]
     
     
  • 3.36, Xasd (ok), 17:20, 03/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    разжуй чуть-чуть..

    CRC от чего?

     
     
  • 4.42, уцсукмы (?), 19:32, 03/06/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    Антивирус. Ты кто?
    Вирус. Область данных!
    Антивирус. А не вирус?
    Вирус. Hи боже мой!
    Антивирус. А зачем прерывания перехватываешь?
    Вирус. Я?!
    Антивирус. Вот же подпрограмма.
    Вирус. Это не подпрограмма. Это цитата из Лао-цзы на языке оригинала в альтернативной кодировке.
    Антивирус. А зачем EXE-файлы ищешь?
    Вирус. А вдруг хозяин спросит: "А где мои ЕХЕ-файлы?" А я ему - вот они!
    Антивирус. Сдается мне, что ты все-таки вирус.
    Вирус. Hу ладно, только тебе признаюсь, только ты никому не говори! Hа самом деле я... антивирусная вакцина!
    Антивирус. А зачем нужна антивирусная вакцина, если есть я?
    Вирус. Откуда я знаю? У хозяина спроси.
    Антивирус. А если я тебя на всякий случай все-таки грохну?
    Вирус. А если я тебя?
    Антивирус. Hе получится. У меня управление.
    Вирус. А ты свою контрольную сумму давно пересчитывал?
    Антивирус. А причем тут моя контрольная... ой!!!
    Вирус. То-то же.
     
  • 2.9, lucentcode (ok), 23:37, 02/06/2018 [^] [ответить]     [к модератору]  
  • +/
    А где гарантия, что сисадмин там вообще был Очень часто бывают варианты вроде ... весь текст скрыт [показать]
     
     
  • 3.11, Аноним (-), 00:01, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Это был noops. Это ничего, людишки, скоро искусственный интеллект захавает вас всех!
     
     
  • 4.37, Аноним (-), 17:45, 03/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Скорее его через открытый порт нагнут и добывать руду заставят
     
  • 2.26, Аноним (-), 13:45, 03/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Дык быстро же, рапид деплоймент во все поля у недобизнесов. Хипстота образок в докере развернула, и смузи пить ушла - красота! Все приколы вылезут чуть попозже.
     
     
  • 3.60, Аноним (-), 08:10, 06/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Taщемта, стандартный докер-образ редиса никаких открытых портов снаружи не держит, а другие контейнеры могут обращаться к нему по встроенному локальному DNS-резолверу.
     
  • 2.34, Аноним (-), 17:06, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Серверы.
     
  • 1.4, Ю.Т. (?), 22:39, 02/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    "Honeypot" это и есть "подставной" или "подсада".
     
     
  • 2.15, Аноним (-), 02:52, 03/06/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    > "Honeypot" это и есть "подставной" или "подсада".

    Это сервер пчеловодов

     
     
  • 3.56, DeadLoco (ok), 11:41, 04/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Это сервер виннипухов.
     
  • 1.8, Аноним (-), 23:32, 02/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Зато как приятно развернуть сервер в два клика и с наслаждением смотреть, как у коммандлайновых старпёров подгорает от зависти.
     
     
  • 2.12, Аноним (-), 00:03, 03/06/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    75% развернули в 2 клика и наслаждением смотрят. И когда школьники уже поумнеют?
     
     
  • 3.16, Аноним (-), 07:21, 03/06/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Как раз двумя кликами безопаснее, т.к. меньше возможностей налажать)
     
     
  • 4.19, Аноним (-), 10:38, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Тот, кто готовит сборку для установки в два клика, не может знать всех ваших обстоятельств. Если даже при этом вы считаете, что вы меньше знаете как и что надо сделать, то это... это печально.
     
     
  • 5.22, Аноним (-), 10:57, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Да и к тому же, кто гововят пакеты, могут сами лажануться с умолчальными настройками.
     
     
  • 6.40, Аноним (-), 18:51, 03/06/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    А вот и секта установки Генту в прод подъехала. Здравствуйте, ребята, чувствуйте себя как дома.
     
  • 2.30, PereresusNeVlezaetBuggy (ok), 16:00, 03/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Командлайновые старпёры пишут что-то вроде 171 redis-deploy W X Y Z 187 , En... весь текст скрыт [показать]
     
  • 2.47, Аноним (-), 22:45, 03/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >Зато как приятно снять входную дверь и с наслаждением смотреть, как по квартире шастают незнакомые люди.

    исправил

     
  • 1.17, An (??), 08:04, 03/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Из года в год одно и то же
     
  • 1.24, Аноним (24), 12:16, 03/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    DevOps в чистом виде Сколько я ни видывал девопсов, все недалёкие люди, помешан... весь текст скрыт [показать]
     
     
  • 2.38, Аноним (-), 17:49, 03/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Если на смузи хватает то какая разница как там работает?
     
  • 2.39, KonstantinB (ok), 18:25, 03/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Это вопрос профессионализма Всегда были сисадмины , которые кроме apt-get inst... весь текст скрыт [показать]
     
     
  • 3.45, username (??), 22:09, 03/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Плюсую, два разных мира Вопрос на собеседовании начинаю с механики namespaces в... весь текст скрыт [показать]
     
     
  • 4.48, KonstantinB (ok), 23:34, 03/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Вообще, в изначальном понимании идея devops очень правильная Смысл был в том, ч... весь текст скрыт [показать]
     
     
  • 5.49, Dmitry77 (ok), 05:01, 04/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    terraform (https://www.terraform.io) стоящий инструмент?
     
     
  • 6.51, Andrey Mitrofanov (?), 07:04, 04/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > terraform (https://www.terraform.io) стоящий инструмент?

    кабан, аджиль, девопс, https://zaitcev.livejournal.com/247391.html IaaC

     
  • 2.52, Аноним (-), 10:23, 04/06/2018 [^] [ответить]     [к модератору]  
  • +/
    как бы настроить это так что-бы оно умело одновременно https и http правильно от... весь текст скрыт [показать]
     
  • 1.54, Аноним (-), 11:15, 04/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Теперь везде насрано майненгскриптами, куда не ткнись везде щкольные явамайнеры в тырнет стращно теперь..
     
  • 1.57, Аноним (-), 18:41, 04/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А всего лишь нужно было не перекладывать вопросы безопасности на пользователей и не давать по дефолту принимать запросы без аутентификации. Всех людей не исправишь, а вот софт исправить - 5 копеек.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor