广州全一信息科技有限公司

通过军C+,国密局等多项认证
兼容性,稳定性好,数十万客户信赖!

广东省公安厅认证信息安全服务机构

服务热线: 139-2212-9991

示例图片三
网站首页 > 新闻资讯 > 业界资讯

一起利用Redis漏洞进行加密货币的勒索事件

2018-09-13 18:49:39 广州全一信息科技有限公司 已读

9月10日下午,阿里云官方首次发现一起规模化利用Redis 未授权访问漏洞进行加密货币勒索的事件,阿里云上防御系统在攻击开始的10s内就已开启全网拦截。

与以往的只是通过算力窃取进行挖矿的攻击事件不同,此次攻击者在攻击之初就是以勒索钱财作为第一目的的,攻击者无惧暴露,非常猖狂。直接删除数据、加密数据也意味着攻击者与防御者之间已经没有缓冲地带,基本的攻防对抗将是赤裸裸的一场刺刀战。

该高危漏洞早在半年前阿里云就发布过预警,但是还是有不少用户并未进行修改加以重视。阿里云安全专家提醒用户参考文末方法,尽快完成漏洞修复或部署防御,一旦被攻击成功,整个服务器的程序和数据都将会被删除!且很难恢复。

Redis应用简介
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。

Redis漏洞原理
作为一个内存数据库,redis 可通过周期性配置或者手动执行save命令,将缓存中的值写入到磁盘文件中。如果redis进程权限足够,攻击者就可以利用它的未授权漏洞来写入计划任务、ssh登录密钥、webshell 等等,以达到执行任意指令的目的。

自2017年12月以来,由于该漏洞已经被大规模利用,如DDG等多个僵尸网络都以该漏洞为目标进行迅速的繁殖和占领算力,并且各大僵尸网络间都会互相删除彼此来保证自己对机器算力的掌握。

攻击过程说明
– 首先攻击者通过事先的扫描踩点,发现了这些公网可访问并且未设置密码的机器
– 攻击者尝试连接这些机器,并且运行如下代码:
一起利用Redis漏洞进行加密货币勒索的事件

通过上述指令,将下载脚本:http://103.224.80.52/butterfly.sh 并将该脚本写入到计划任务中,由计划任务启动执行。

截止到9月10日晚8点为止,该地址共收到了0.6个比特币的转账,并且都是在今日进行发送的,已经有受害者开始转账了。


数控车床加工 通风降温设备 Navicat 节能环保空调 广州租车公司 彩色复印机出租 赣州通风降温设备 服务器数据恢复 金蝶软件 ee域名 优科无线ap 网站目录