一、事件排查
近来接到某个客户的应急,上机排查后确定是中了TeamTNT挖矿病毒,经过一番排查,最终查到最早的入侵点为某台云服务器。

毕竟吧,TeamTNT的常用的利用手法就是redis未授权、gitlab RCE、ssh弱密码。当我一顿看日志,测试redis,果不其然,未授权访问,毕竟云上机器吗,直接怼安全组,清一色6379放通,原因这不就来了。

但当我定睛一看,是挺多的放通的,还是绑定两个安全组,内容一看都是白名单,哦豁

当时脑子一激灵,不应该呀,这种自动化攻击的,没必要整那么复杂,肯定是安全组做了改动,直接就是打开云服务器的审计功能,问问客户是不是你改了安全组,客户当然是我没有,不是我。


当时想?难道又是无头悬案,这必不可能,等等,刚才的安全组,是不是范围有点大。好家伙,这8位掩码、24位掩码,凑,就是你了。


二、总结
对,没错,原因很简单,就是redis未授权,还把6379端口开放到公网(假的白名单),虽然中间redis没有记录日志,有也不记录IP,还是需要从多个方面佐证是这个原因,但这里就不写了。总的来说,细节细节,当时一堆安全组的配置属实看花了眼,总体来说就是不用把问题复杂化,然后就是真细呀
