75%的Redis服务器被发现感染

尽管由于服务器和应用程序配置不当，新的网络攻击不断出现，但人们仍然忽视安全警告。

Redis或REmote DIctionary Server是一种开源的、广受欢迎的数据结构工具，可以用作内存中的分布式数据库、消息代理或缓存。由于它被设计为在受信任的环境中访问，因此不应在Internet上公开。

配音雷迪斯万纳明，数据中心安全供应商Imperva在3月底发现了一个利用相同漏洞的类似恶意软件，该软件旨在将加密货币挖掘脚本投放到目标服务器上，数据库和应用程序。

根据Imperva三月份的博客文章，这种加密劫持威胁“在规避技术和能力方面更为复杂。它展示了一种蠕虫样的行为，并结合了先进的攻击手段，以增加攻击者的感染率并增加他们的钱包”。

同一家安全公司最近发布的一份报告显示，从互联网（通过6379端口）访问的开放式Redis服务器中，有四分之三的服务器内存中含有恶意的密钥-值对集，这表明尽管多次警告，管理员仍继续让服务器容易受到黑客攻击。

根据Imperva从其自行设置的可公开使用的Redis服务器（用作蜜罐）收集的数据，在所有受损服务器中，68%的系统被发现使用类似的密钥（名为“backup1、backup2、backup3”）感染，这些密钥是由位于中国的一个中型僵尸网络（占IP的86%）攻击的。

此外，攻击者现在发现，他们使用受损服务器作为代理来扫描和查找其他网站中的漏洞，包括SQL注入、跨站点脚本、恶意文件上传和远程代码执行。

新攻击的工作原理是在内存中设置恶意密钥-值对，并将其保存为/etc/crontab文件夹中的文件，强制服务器执行该文件。

Imperva安全研究团队负责人纳达夫·阿维塔尔（Nadav Avital）在一篇博客文章中解释说：“攻击者通常会设置包含下载外部远程资源并运行该资源的命令的值。另一种流行的命令类型是添加SSH密钥，这样攻击者就可以远程访问机器并接管它”。

为了防止Redis服务器成为此类攻击的受害者，建议管理员永远不要将其服务器暴露在互联网上，但如果需要，应用身份验证机制以防止未经授权的访问。

此外，由于Redis不使用加密，并且以纯文本形式存储数据，因此您不应该在这些服务器上存储任何敏感数据。

Avital说：“当人们不阅读文档并将服务迁移到云端时，通常会出现安全问题，而不知道这样做的后果或需要采取的适当措施”。