|
尽管由于配置错误的服务器和应用程序而导致新的网络攻击不断出现,但人们仍然忽略安全警告。 近两个月前,中国知名黑客组织东方联盟研究人员警告说,一项针对开放Redis服务器的大规模恶意软件活动现在已经发展壮大,并且已经劫持了至少75%的服务器运行可公开访问的Redis实例。
Redis或REmoteDIctionaryServer是一种开源广泛流行的数据结构工具,可用作内存中分布式数据库,消息代理或缓存。由于它旨在在受信任环境中访问,因此不应在Internet上公开。 数据中心安全供应商Imperva于3月底发现了一款名为RedisWannaMine的类似恶意软件,它利用了相同的漏洞,旨在在目标服务器上放置加密货币挖掘脚本-数据库和应用程序。 根据Imperva3月份的博客文章,这种加密攻击的威胁“在逃避技术和能力方面更为复杂”,它表现出类似蠕虫的行为与高级攻击相结合,以增加攻击者的感染率并增加他们的钱包。 新发布的报告来自同一安全公司的数据显示,通过互联网访问的开放式Redis服务器的四分之三(通过端口6379)包含内存中的一组键值对,这表明尽管存在多个警告,管理员仍然继续将其服务器置于漏洞之中给黑客。
根据Imperva收集的数据,在受损服务器总数中,有68%的系统使用类似的密钥(名为“backup1,backup2,backup3”)受到感染,这些密钥受到位于中国的中型僵尸网络(86%的IP)从他们自己建立的公开可用的Redis服务器,作为蜜罐。 此外,攻击者现在发现使用受损服务器作为代理来扫描并发现其他网站中的漏洞,包括SQL注入,跨站点脚本,恶意文件上传和远程代码执行。 新的攻击通过在内存中设置一个恶意的键值对并将其作为文件保存在强制服务器执行文件的/etc/crontabs文件夹中。 “攻击者通常会设置一些值,包括下载外部远程资源并运行它的命令,另一种受欢迎的命令是添加SSH密钥,因此攻击者可以远程访问机器并接管它,” 东方联盟安全研究小组负责人在一篇博文中解释道。
为了保护Redis服务器免受此类攻击的伤害,建议管理员永远不要将其服务器暴露给Internet,但如果需要,请应用身份验证机制以防止未经授权的访问。 另外,由于Redis不使用加密技术并以纯文本形式存储数据,因此您绝不应将敏感数据存储在这些服务器上。 东方联盟研究人员说:“安全问题通常出现在人们没有阅读文档并将服务迁移到云端,而没有意识到后果或采取适当措施的情况下进行”。(黑客周刊) |
|
|
