黑帽联盟

 找回密码
 会员注册
查看: 1793|回复: 1
打印 上一主题 下一主题

[系统安全] Redis SSH 漏洞修复方法

[复制链接]

895

主题

38

听众

3323

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    无聊
    5 天前
  • 签到天数: 1644 天

    [LV.Master]伴坛终老

    一、前言前段时间,在做内网影响程度评估的时候写了扫描利用小脚本,
    扫描后统计发现,内网中60%开放了redis6379端口的主机处于可以被利用的危险状态,因为都是一些默认配置造成的
    考虑到本社区大部分开发者都会使用redis,特此分享下以便大家可以对自己公司的内网进行一个排查。


    二、漏洞介绍
    Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。
    入侵特征:
    • Redis 可能执行过 FLUSHALL 方法,整个 Redis 数据库被清空
    • 在 Redis 数据库中新建了一个名为 crackit(网上流传的命令指令) 的键值对,内容为一个 SSH 公钥。
    • 在 /root/.ssh 文件夹下新建或者修改了 authorized_keys 文件,内容为 Redis 生成的 db 文件,包含上述公钥

    三、修复建议1.禁止一些高危命令修改 redis.conf 文件,添加
    rename-command FLUSHALL ""rename-command CONFIG   ""rename-command EVAL     ""
    来禁用远程修改 DB 文件地址


    2.以低权限运行 Redis 服务为 Redis 服务创建单独的用户和家目录,并且配置禁止登陆


    3.为 Redis 添加密码验证修改 redis.conf 文件,添加
    requirepass mypassword

    4.禁止外网访问 Redis修改 redis.conf 文件,添加或修改
    bind 127.0.0.1

    使得 Redis 服务只在当前主机可用



    四、扫描工具1 使用说明    #以Ubuntu为例    su    # Requirements    apt-get install redis-server expect zmap    git clone https://github.com/qingxp9/yyfexploit    cd yyfexploit/redis    # 扫描6379端口    # 如果你要扫内网,把/etc/zmap/zmap.conf中blacklist-file这一行注释掉    zmap -p 6379 10.0.0.0/8 -B 10M -o ip.txt    # Usage    ./redis.sh ip.txt

    最后,将会生成几个txt文件记录结果
    其中:
    runasroot.txt 表示redis无认证,且以root运行
    noauth.txt 表示redis无认证,但以普通用户运行
    rootshell.txt 已写入公钥,可直接以证书登录root用户
    像这样:
    ssh -i id_rsa root@x.x.x.x


    2 工具源代码就贴下代码吧:
    游客,如果您要查看本帖隐藏内容请回复



    相关链接:Redis漏洞被黑客利用来挖矿,占用CPU资源

    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    勿忘初心,方得始终!

    1

    主题

    0

    听众

    345

    积分

    黑帽学员

    Rank: 3Rank: 3

  • TA的每日心情

    2020-1-22 01:58
  • 签到天数: 115 天

    [LV.6]常住居民II

    漏洞修复方法
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部