大柚子

这世界不过如此

一、事件排查

近来接到某个客户的应急,上机排查后确定是中了TeamTNT挖矿病毒,经过一番排查,最终查到最早的入侵点为某台云服务器。

好不愧是我表情包-表情包网站

毕竟吧,TeamTNT的常用的利用手法就是redis未授权、gitlab RCE、ssh弱密码。当我一顿看日志,测试redis,果不其然,未授权访问,毕竟云上机器吗,直接怼安全组,清一色6379放通,原因这不就来了。

人生巅峰不过如此表情包_搞怪耍贱斗图表情包_72QQ网

但当我定睛一看,是挺多的放通的,还是绑定两个安全组,内容一看都是白名单,哦豁

当时脑子一激灵,不应该呀,这种自动化攻击的,没必要整那么复杂,肯定是安全组做了改动,直接就是打开云服务器的审计功能,问问客户是不是你改了安全组,客户当然是我没有,不是我。

那你很勇哦?-爱表情网

当时想?难道又是无头悬案,这必不可能,等等,刚才的安全组,是不是范围有点大。好家伙,这8位掩码、24位掩码,凑,就是你了。

歼20这个内饰……太有战斗力了

二、总结

对,没错,原因很简单,就是redis未授权,还把6379端口开放到公网(假的白名单),虽然中间redis没有记录日志,有也不记录IP,还是需要从多个方面佐证是这个原因,但这里就不写了。总的来说,细节细节,当时一堆安全组的配置属实看花了眼,总体来说就是不用把问题复杂化,然后就是真细呀

又是一个小细节(熊猫头表情包)_熊猫_细节_一个表情- 发表情- fabiaoqing.com
亿点点细节表情包_表情包_图片_头像_易搜头像网这个东西丕好和你解释,因为我是菜狗-表情包素材-搞笑图片表情包-表情包网站

Print Friendly, PDF & Email

发表回复

您的电子邮箱地址不会被公开。