Redis 未授权访问配合 SSH key 登录已中枪 - V2EX

Home Sign Up Sign In

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

Sign Up Now

For Existing Member Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 3831 days ago, the information mentioned may be changed or developed.

事先申明：
1. 这台服务器开着的 Redis 为空密绑定到公网但是无任何应用
2. 本身是 SSH KEY 登录的不存在密钥错误问题

很惨，我刚黑掉别人的一台 Redis 服务器然后想上自己的服务器改点文件
随后发现 SSH 连不上报错 Key 不对（之前肯定正确）

想了一下怀疑和之前爆出的 Redis 空密码登录 VPS 有关。
为了验证自己的猜想，执行了 redis-cli -h ip
我最怕的事情发生了果然是空密并且监听在公网 IP 上。

总结：
想了一下为什么会发生这样的问题，原来是上次测试完 Redis 在服务器上的性能 Drop 了数据库但没关掉进程导致被黑
处理方案：
VNC 重新分发了私钥下去，可以登录
并且我已经将所有测试机都添加了 nologin 用户， bind 127.0.0.1 以及加密

这个事件告诉我们，千万别在公网上做这么不安全的事情，说不准你就被黑了！

26 replies • 2015-11-12 18:46:14 +08:00

1

humiaozuzu

Nov 11, 2015

看到公网 ip 了，不担心被 D 吗 = =

2

nlzy

Nov 11, 2015 via iPhone

这个故事告诉我们
服务不要用 root 跑
服务器不要开放所有端口

3

Andy1999

OP

Nov 11, 2015 via iPhone

@humiaozuzu 感谢提醒已换内网

@nlzy 现在坑惨了我替换了私钥都登不上去

4

kendetrics

Nov 11, 2015

“我刚黑掉别人的一台 Redis 服务器”

扑通，大神你还收徒么

5

skydiver

Nov 11, 2015

redis 有什么漏洞？

6

forever139

Nov 11, 2015

昨天就已经发现 redis 里面存了一个 crackit 的 string key ，然后值是一个 ssh key 的公钥。然后搜索下就发现作者在几天前就在说了 http://antirez.com/news/96

7

kn007

Nov 11, 2015

1

我其实想说一句。。。年轻真好。。。

8

yexm0

Nov 11, 2015

“我刚黑掉别人的一台 Redis 服务器”
要不要报警呢

9

Andy1999

OP

Nov 11, 2015 via iPhone

@kendetrics
@skydiver
@yexm0 Redis crackit
其实基本无难度的……

10

cmheia

Nov 11, 2015 via Android

这是被对方黑回来了吗→_→

11

Andy1999

OP

Nov 11, 2015

@cmheia hhhhhhhhhhhhhhhh 我是疏忽了。。。真的疏忽了测试完没关掉目前联系腾讯云让他们帮我把 key 弄掉重装了

12

wbsdty331

Nov 11, 2015

不开 Redis 的表示无影响
你的 ssh key 是多少位加密的

13

Andy1999

OP

Nov 11, 2015

@wbsdty331 4096 吧

14

mupeng

Nov 11, 2015

这个截图是 iphone 的什么软件？

15

Keita1314

Nov 11, 2015

@Andy1999 我也想知道截图是什么软件

16

wbsdty331

Nov 11, 2015

@Andy1999 我当时用 8192 位的 dsa 放手机上的 Connectbot 不认

17

Andy1999

OP

Nov 11, 2015 via iPhone

@mupeng serverauditor
@Keita1314
@wbsdty331 换 2048

18

Mush

Nov 12, 2015

上午的时候盆友说他们公司的 redis 数据全没了, 让我看看, 我就登上去一看, 发现各种诡异情况, 后来一查发现是个漏洞. 好在我司都是用 docker, 最坏的情况是数据丢失几个小时的, 然而比较谨慎的我们都配置了密码. 刚才还收到了 Ucloud 的电话, 询问我们有没有不安全因素.

19

Andy1999

OP

Nov 12, 2015 via iPhone

@Mush 其实不能算漏洞你们 bind 了 0.0.0.0 然后空密被清空自然很正常啦

20

Mush

Nov 12, 2015

@Andy1999 rdb 文件可以 dump 到.ssh 目录感觉是个不安全因素

21

msg7086

Nov 12, 2015

@Mush 说过很多次了，用 root 运行 daemon 才是不安全因素。
你给了程序最高权限，程序为啥不能 dump 到系统目录里……

22

cloudzhou

Nov 12, 2015

最最简单的，难道不应该使用 iptables 吗？只把需要的端口开放出来

23

yzimhao

Nov 12, 2015

刚刚扫一下楼主的这个 ip 段发现了 5 台 redis 都绑定到公网 ip 了

尝试了一台成功 root 登陆

24

Andy1999

OP

Nov 12, 2015 via iPhone

@yzimhao 115.159.44.* 这个段吗

25

yzimhao

Nov 12, 2015

@Andy1999 是的

26

changqingshuya

Nov 12, 2015 via iPhone

中枪…赶紧把防火墙搞上…

About · Help · Advertise · Blog · API · FAQ · Solana · 4485 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 92ms · UTC 00:09 · PVG 08:09 · LAX 17:09 · JFK 20:09
♥ Do have faith in what you're doing.