Shell暴露Redis未授权访问:反弹Shell的危险
Redis是一种流行的键值存储数据库,尤其在网络应用程序中得到广泛的应用。然而,如果Redis未授权访问,攻击者可以轻松地获取系统中的敏感信息。更糟糕的是,他们可以在Redis上使用反弹Shell的技术,完全控制受影响的系统。在本文中,我们将讲述如何检测和防范这种攻击,并提供一些与Redis相关的代码。
检测Redis未授权访问:
要检测Redis未授权访问,您可以使用Redis模块中的指令。以下是几个您可以使用的命令:
1. Redis-cli命令
使用Redis-cli命令可以检查系统上是否存在Redis。如果存在,您可以检查是否存在密码保护。
如果Redis未接受密码保护,您将看到以下输出:
diagnose / Connect to Redis instance by id or alias
(error) NOAUTH Authentication required.
否则您会看到:
2. Redis-CLI AUTH命令
如果Redis需要密码保护,您可以使用Redis-CLI AUTH命令输入密码或将密码保存在配置文件中。但是,如果攻击者获取密码,他们可以轻松地访问您的Redis数据库。
AUTH “passWORD”
3. Redis-CLI PING命令
使用Redis-CLI PING命令进行测试,确保Redis正在运行。如果Redis未处于运行状态,攻击者将无法使用反弹Shell技术轻松访问您的系统。
如何防止Redis未授权访问:
您可以采取以下预防措施来防止Redis未授权访问:
1. 加密密码
加密Redis密码是防止未授权访问的最佳方法。确保您的密码是复杂的,并使用加密算法将其保存在配置文件中。
2. 增加防火墙限制
使用防火墙限制Redis 服务器 的访问只允许可信的IP地址。如果您的系统只接受外部访问,则确保Redis服务器的所有端口都被防火墙保护。
3. 定期更新密码
定期更改Redis密码是保护系统安全的另一种方法。这将防止在发生安全漏洞时,攻击者长时间访问您的系统。
Redis反弹Shell危险:
反弹Shell是一种通过从受攻击的Redis服务器返回的输出,来执行攻击者的命令的技术。这种技术可以使攻击者完全控制系统,而且很难检测。以下是实现反弹Shell的几个步骤:
1. 攻击者通过未授权访问获取Redis数据库的控制权。
2. 攻击者向Redis数据库发送指令,并使用反弹Shell技术,使选定的输出被发送回攻击者的IP地址和端口。
3. 攻击者控制的服务器将输出发送回攻击者的系统,并执行其命令。攻击者现在可以完全控制受影响的系统。
防止Redis反弹Shell:
您可以遵循以下步骤来防止Redis反弹Shell攻击:
1. 加密Redis密码
通过加密密码,您可以防止攻击者获取Redis数据库的控制权。这将防止在攻击者与Redis服务器交互时执行反弹Shell。
2. 加强访问控制
使用只允许授权用户的身份验证来限制访问您的Redis服务器。防止外部用户访问,您可以使用网络安全组、防火墙或TCP / IP包过滤器等网络安全机制。
3. 更新Redis和操作系统
更新Redis和操作系统,确保使用的版本不会受到已知的漏洞的攻击。如果漏洞存在,则立即安装系统和Redis修复程序。
结论:
在本文中,我们讨论了Redis未授权访问和反弹Shell攻击,以及如何避免它们。防止Redis未授权访问和反弹Shell攻击的最佳方法是加密您的Redis密码,采用访问控制策略,并定期更新您的系统。如需更多信息,请参阅Redis安全性文档。
参考代码:
以下代码可用于检查Redis是否正在运行并查找Redis实例中的键值。
redis-cli ping
redis-cli keys “*”
或者,您可以使用以下代码来设置Redis密码:
redis-cli config set requirepass “mypassword”
或:
echo “requirepass mypassword” >> /etc/redis/redis.conf
要防止反弹Shell攻击,请禁用Redis的`*-notify-keyspace-events`配置选项,如下所示:
redis-cli config set notify-keyspace-events ”
香港服务器首选树叶云,2H2G首月10元开通。树叶云(shuyeidc.com)提供简单好用,价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。
我的电脑被人控制了怎么办
特洛伊木马(Trojan horse)古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。 围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。 特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。 到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。 后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在PC或者服务器上。 “特洛伊木马”(trojan horse)简称“木马”,据说这个名称来源于希腊神话《木马屠城记》。 古希腊有大军围攻特洛伊城,久久无法攻下。 于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。 城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。 到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。 后世称这只大木马为“特洛伊木马”。 如今黑客程序借用其名,有“一经潜入,后患无穷”之意。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。 “中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。 木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。 详解木马原理介绍特洛伊木马程序的原理、特征以及中了木马后系统出现的情况……QUOTE:特洛伊木马是如何启动的作为一个优秀的木马,自启动功能是必不可少的,这样可以保证木马不会因为你的一次关机操作而彻底失去作用。 正因为该项技术如此重要,所以,很多编程人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。 一个典型的例子就是把木马加入到用户经常执行的程序 (例如)中,用户执行该程序时,则木马自动发生作用。 当然,更加普遍的方法是通过修改Windows系统文件和注册表达到目的,现经常用的方法主要有以下几种:1.在中启动在的[windows]字段中有启动命令load=和run=,在一般情况下 =后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\=c:\windows\要小心了,这个很可能是木马哦。 2.在中启动位于Windows的安装目录下,其[boot]字段的shell=是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=。 注意这里的就是木马服务端程序!另外,在System.中的[386Enh]字段,要注意检查在此段内的driver=路径\程序名这里也有可能被木马所利用。 再有,在中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。 3.利用注册表加载运行如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。 4.在和中加载运行请大家注意,在C盘根目录下的这两个文件也可以启动木马。 但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。 容易被发现,所以在和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。 5.在中启动是一个特殊性丝毫不亚于的批处理文件,也是一个能自动被Windows加载运行的文件。 它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了并加截了多数驱动程序之后开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。 由于的功能可以由代替完成,因此木马完全可以像在中那样被加载运行,危险由此而来。 6.启动组木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。 启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFolders Startup=c:\windows\start menu\programs\startup。 要注意经常检查启动组哦!7.*即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 只启动一次的方式:在.中(用于安装较多)。 8.修改文件关联修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. 冰河就是通过修改HKEY_CLASSES_root\txtfile\whell\open\command下的键值,将“C:\WINDOWS\本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 C:\WINDOWS\%l改为 C:\WINDOWS\SYSTEM\%l,这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、等都是木马的目标,要小心搂。 对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。 9.捆绑文件实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。 绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 10.反弹端口型木马的主动连接方式反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。 这类木马的典型代表就是网络神偷。 由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。 同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。 QUOTE:木马的隐藏方式1.在任务栏里隐藏这是最基本的隐藏方式。 如果在windows的任务栏里出现一个莫名其妙的图标,傻子都会明白是怎么回事。 要实现在任务栏中隐藏在编程时是很容易实现的。 我们以VB为例。 在VB中,只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。 2.在任务管理器里隐藏查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。 如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行,那么这肯定不是什么好木马。 所以,木马会千方百计地伪装自己,使自己不出现在任务管理器里。 木马发现把自己设为 系统服务“就可以轻松地骗过去。 因此,希望通过按Ctrl+Alt+Del发现木马是不大现实的。 3.端口一台机器有个端口,你会注意这么多端口么?而木马就很注意你的端口。 如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势;当然也有占用1024以下端口的木马,但这些端口是常用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。 也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描个端口么?4.隐藏通讯隐藏通讯也是木马经常采用的手段之一。 任何木马运行后都要和攻击者进行通讯连接,或者通过即时连接,如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。 如通过电子邮件的方式,木马把侵入主机的敏感信息送给攻击者。 现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口,如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后,收到正常的HTTP请求仍然把它交与Web服务器处理,只有收到一些特殊约定的数据包后,才调用木马程序。 5.隐藏隐加载方式木马加载的方式可以说千奇百怪,无奇不有。 但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。 如果木马不做任何伪装,就告诉你这是木马,你会运行它才怪呢。 而随着网站互动化避程的不断进步,越来越多的东西可以成为木马的传播介质,Java Script、VBScript、....几乎WWW每一个新功能部会导致木马的快速进化。 6.最新隐身技术在Win9x时代,简单地注册为系统进程就可以从任务栏中消失,可是在Windows2000盛行的今天。 这种方法遭到了惨败。 注册为系统进程不仅仅能在任务栏中看到,而且可以直接在Services中直接控制停止。 运行(太搞笑了,木马被客户端控制)。 使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道,在NT下,Administrator是可以看见所有进程的)。 在研究了其他软件的长处之后,木马发现,Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。 这是一种更新、更隐蔽的方法。 通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。 这种方法与一般方法不同,它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。 对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些相应的操作。 实际上。 这样的事先约定好的特种情况,DLL会执行一般只是使用DLL进行监听,一旦发现控制端的请求就激活自身,绑在一个进程上进行正常的木马操作。 这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。 在往常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
木马程序 Trojan-PSW.Win32.OnLineGames.jbu
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。 “中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。 木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。 特洛伊木马是如何启动的1. 在中启动在的[windows]字段中有启动命令load=和run=,在一般情况下 =后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\=c:\windows\要小心了,这个很可能是木马哦。 2.在中启动位于Windows的安装目录下,其[boot]字段的shell=是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=。 注意这里的就是木马服务端程序!另外,在System.中的[386Enh]字段,要注意检查在此段内的driver=路径\程序名这里也有可能被木马所利用。 再有,在中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。 3.利用注册表加载运行如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。 4.在和中加载运行请大家注意,在C盘根目录下的这两个文件也可以启动木马。 但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。 容易被发现,所以在和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。 5.在中启动是一个特殊性丝毫不亚于的批处理文件,也是一个能自动被Windows加载运行的文件。 它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了并加截了多数驱动程序之后开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。 由于的功能可以由代替完成,因此木马完全可以像在中那样被加载运行,危险由此而来。 6.启动组木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。 启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFolders Startup=c:\windows\start menu\programs\startup。 要注意经常检查启动组哦!7.*即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 只启动一次的方式:在.中(用于安装较多)。 8.修改文件关联修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. 冰河就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 C:\WINDOWS\%l改为 C:\WINDOWS\SYSTEM\%l,这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、等都是木马的目标,要小心搂。 对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。 9.捆绑文件实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。 绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 10.反弹端口型木马的主动连接方式反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。 这类木马的典型代表就是网络神偷。 由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。 同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。 WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
特洛伊木马名字的前缀是什么
按照个人喜好,或者随便乱打的名,但是木马的大小不会超过 1M ,不会低于120KB一下。 。
发表评论