9月10日下午，阿里云官方首次發(fā)現(xiàn)一起規(guī)?；肦edis 未授權(quán)訪問漏洞進行加密貨幣勒索的事件，阿里云上防御系統(tǒng)在攻擊開始的10s內(nèi)就已開啟全網(wǎng)攔截。

與以往的只是通過算力竊取進行挖礦的攻擊事件不同，此次攻擊者在攻擊之初就是以勒索錢財作為第一目的的，攻擊者無懼暴露，非常猖狂。直接刪除數(shù)據(jù)、加密數(shù)據(jù)也意味著攻擊者與防御者之間已經(jīng)沒有緩沖地帶，基本的攻防對抗將是赤裸裸的一場刺刀戰(zhàn)。

該高危漏洞早在半年前阿里云就發(fā)布過預警，但是還是有不少用戶并未進行修改加以重視。阿里云安全專家提醒用戶參考文末方法，盡快完成漏洞修復或部署防御，一旦被攻擊成功，整個服務器的程序和數(shù)據(jù)都將會被刪除!且很難恢復。

Redis應用簡介
Redis是一個開源的使用ANSI C語言編寫、支持網(wǎng)絡、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫，并提供多種語言的API。從2010年3月15日起，Redis的開發(fā)工作由VMware主持。從2013年5月開始，Redis的開發(fā)由Pivotal贊助。

Redis漏洞原理
作為一個內(nèi)存數(shù)據(jù)庫，redis 可通過周期性配置或者手動執(zhí)行save命令，將緩存中的值寫入到磁盤文件中。如果redis進程權(quán)限足夠，攻擊者就可以利用它的未授權(quán)漏洞來寫入計劃任務、ssh登錄密鑰、webshell 等等，以達到執(zhí)行任意指令的目的。

自2017年12月以來，由于該漏洞已經(jīng)被大規(guī)模利用，如DDG等多個僵尸網(wǎng)絡都以該漏洞為目標進行迅速的繁殖和占領(lǐng)算力，并且各大僵尸網(wǎng)絡間都會互相刪除彼此來保證自己對機器算力的掌握。

攻擊過程說明
- 首先攻擊者通過事先的掃描踩點，發(fā)現(xiàn)了這些公網(wǎng)可訪問并且未設置密碼的機器
- 攻擊者嘗試連接這些機器，并且運行如下代碼:

通過上述指令，將下載腳本:http://103.224.80.52/butterfly.sh 并將該腳本寫入到計劃任務中，由計劃任務啟動執(zhí)行。

截止到9月10日晚8點為止，該地址共收到了0.6個比特幣的轉(zhuǎn)賬，并且都是在今日進行發(fā)送的，已經(jīng)有受害者開始轉(zhuǎn)賬了。

安全建議
1、通過安全組限制對公網(wǎng)對Redis等服務的訪問
2、通過修改redis.conf配置文件，增加密碼認證，并隱藏重要命令
3、以低權(quán)限運行redis服務等

ice

收藏 海報分享