9月10日下午15:06開始，阿里云官方首次發(fā)現(xiàn)一起規(guī)模化利用Redis 未授權(quán)訪問漏洞進(jìn)行加密貨幣勒索的事件，阿里云上防御系統(tǒng)在攻擊開始的10s內(nèi)就已開啟全網(wǎng)攔截。

與以往的只是通過算力竊取進(jìn)行挖礦的攻擊事件不同，此次攻擊者在攻擊之初就是以勒索錢財作為第一目的的，攻擊者無懼暴露，非常猖狂。直接刪除數(shù)據(jù)、加密數(shù)據(jù)也意味著攻擊者與防御者之間已經(jīng)沒有緩沖地帶，基本的攻防對抗將是赤裸裸的一場刺刀戰(zhàn)。

該高危漏洞早在半年前阿里云就發(fā)布過預(yù)警，但是還是有不少用戶并未進(jìn)行修改加以重視。阿里云安全專家提醒用戶參考文末方法，盡快完成漏洞修復(fù)或部署防御，一旦被攻擊成功，整個服務(wù)器的程序和數(shù)據(jù)都將會被刪除!且很難恢復(fù)。

Redis應(yīng)用簡介

Redis是一個開源的使用ANSI C語言編寫、支持網(wǎng)絡(luò)、可基于內(nèi)存亦可持久化的日志型、Key-Value數(shù)據(jù)庫，并提供多種語言的API。從2010年3月15日起，Redis的開發(fā)工作由VMware主持。從2013年5月開始，Redis的開發(fā)由Pivotal贊助。

Redis漏洞原理

作為一個內(nèi)存數(shù)據(jù)庫，redis 可通過周期性配置或者手動執(zhí)行save命令，將緩存中的值寫入到磁盤文件中。如果redis進(jìn)程權(quán)限足夠，攻擊者就可以利用它的未授權(quán)漏洞來寫入計劃任務(wù)、ssh登錄密鑰、webshell 等等，云主機租用，以達(dá)到執(zhí)行任意指令的目的。

自2017年12月以來，域名注冊，由于該漏洞已經(jīng)被大規(guī)模利用，如DDG等多個僵尸網(wǎng)絡(luò)都以該漏洞為目標(biāo)進(jìn)行迅速的繁殖和占領(lǐng)算力，并且各大僵尸網(wǎng)絡(luò)間都會互相刪除彼此來保證自己對機器算力的掌握。