Выявлено около 6000 скомпрометированных установок СУБД Redis
В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 211 c root@dedi10243.hostsailor.com и т.п. SSH-ключ злоумышленников сохранён на сервере в файле authorized_keys, что позволяет атакующим подключиться к серверу по SSH и получить полный доступ к системе.
Появление данной активности соотносится с выявлением в прошлом году уязвимости (CVE-2015-4335) в Redis, позволяющей выполнить произвольный код в системе из-за проблемы с организацией sandbox-изоляции виртуальной машины Lua. Проблема была устранена в выпусках Redis 2.8.21 и 3.0.2, но по данным исследователей многие администраторы не спешат применять обновление и в сети можно встретить 106 различных уязвимых версий Redis. Пользователям СУБД Redis рекомендуется убедиться в использовании актуальной версии и применении надлежащих методов разграничения доступа. В простейшем случае факт компрометации можно выявить по наличию в БД ключа "crackit".
Источник: http://www.opennet.ru/opennews/art.shtml?num=44766
|
0 | Tweet | Нравится |
|