儘管由於配置錯誤的服務器和應用程序而導致新的網絡攻擊不斷出現,但人們仍然忽略安全警告。
近兩個月前,中國知名黑客組織東方聯盟研究人員警告說,一項針對開放Redis服務器的大規模惡意軟件活動現在已經發展壯大,並且已經劫持了至少75%的服務器運行可公開訪問的Redis實例。
Redis或REmoteDIctionaryServer是一種開源廣泛流行的數據結構工具,可用作內存中分佈式數據庫,消息代理或緩存。由於它旨在在受信任環境中訪問,因此不應在Internet上公開。
數據中心安全供應商Imperva於3月底發現了一款名為RedisWannaMine的類似惡意軟件,它利用了相同的漏洞,旨在在目標服務器上放置加密貨幣挖掘腳本-數據庫和應用程序。
根據Imperva3月份的博客文章,這種加密攻擊的威脅“在逃避技術和能力方面更為複雜”,它表現出類似蠕蟲的行為與高級攻擊相結合,以增加攻擊者的感染率並增加他們的錢包。
新發布的報告來自同一安全公司的數據顯示,通過互聯網訪問的開放式Redis服務器的四分之三(通過端口6379)包含內存中的一組鍵值對,這表明儘管存在多個警告,管理員仍然繼續將其服務器置於漏洞之中給黑客。
根據Imperva收集的數據,在受損服務器總數中,有68%的系統使用類似的密鑰(名為“backup1,backup2,backup3”)受到感染,這些密鑰受到位於中國的中型殭屍網絡(86%的IP)從他們自己建立的公開可用的Redis服務器,作為蜜罐。
此外,攻擊者現在發現使用受損服務器作為代理來掃描並發現其他網站中的漏洞,包括SQL注入,跨站點腳本,惡意文件上傳和遠程代碼執行。
新的攻擊通過在內存中設置一個惡意的鍵值對並將其作為文件保存在強制服務器執行文件的/etc/crontabs文件夾中。
“攻擊者通常會設置一些值,包括下載外部遠程資源並運行它的命令,另一種受歡迎的命令是添加SSH密鑰,因此攻擊者可以遠程訪問機器並接管它,” 東方聯盟安全研究小組負責人在一篇博文中解釋道。
為了保護Redis服務器免受此類攻擊的傷害,建議管理員永遠不要將其服務器暴露給Internet,但如果需要,請應用身份驗證機制以防止未經授權的訪問。
另外,由於Redis不使用加密技術並以純文本形式存儲數據,因此您絕不應將敏感數據存儲在這些服務器上。
東方聯盟研究人員說:“安全問題通常出現在人們沒有閱讀文檔並將服務遷移到雲端,而沒有意識到後果或採取適當措施的情況下進行”。(黑客週刊)
閱讀更多 IT八卦陣 的文章
