Неизвестный поставил цель создать ботнет для майнинга криптовалютных активов.
Redis находится на четвертой позиции среди наиболее часто используемых движках базы данных, после MySQL, PostigreSQL и Microsoft SQL.
В отличие от традиционных реляционных баз данных, Redis не разрабатывался с учетом требований безопасности и предназначен для доступа доверенных клиентов в доверенных средах. Изначально рассчитывалось, что движок всегда должен использоваться только для внутренних и частных коммуникаций без прямого подключения к Интернету и за брандмауэром.
Тем не менее, как показала практика, некоторые базы данных Redis оказались неправильно настроены, были привязаны к общедоступному интерфейсу, а часть не имела защиты аутентификационным паролем.
Исходя из этого, при определенных условиях, если Redis работает с учетной записью пользователя, преступники могут записать файл открытого ключа SSH в учетную запись root, напрямую войдя на сервер жертвы через SSH. Это предоставит хакерам возможность получить привилегии на сервере, к примеру, чтобы удалить или похитить данные.
Чтобы уменьшить угрозу, пользователям рекомендуется:
- включить аутентификацию клиента,
- настроить Redis для запуска только на внутренних сетевых интерфейсах,
- предотвратить злоупотребление командой CONFIG, переименовав ее,
- а также настроить брандмауэры для приема соединений Redis только с доверенных хостов.
Следует напомнить, что в июне о такой же проблеме проинформировали специалисты по компьютерной безопасности из компании Akamai. Они выявили ботнет с признаками SSH-червя, атакующий SSH-сервера для и распространения вредоносного ПО для майнинга.
Исходя из сведений Akamai, после получения доступа вирус размещает майнеры криптовалют, причем пытается максимально скрыть свою деятельность, например, пользуясь мониторингом процессов и в случае опасности отключая модуль майнинга.
