1. Redis未授权访问漏洞致官网被植入黑链

事件概述

某日，安服团队接到某出版社应急响应请求，官网出现黑链急需溯源排查，应急响应专家30分钟到达现场。

应急人员抵达现场后，通过对系统分析发现在WEB负载服务器WEB01中确实存在黑链，对Web01进行排查发现后门文件，溯源分析后发现攻击者是通过TRS服务器登入Web01系统，获取了Web01系统权限，通过对TRS服务器Web日志分析发现攻击者利用TRS漏洞，植入WebShell后门，攻击IP经调研后发现为内部Redis服务器，通过对Redis服务器进行分析发现该机器存在RootKit程序，该程序会自动连接到攻击者服务器，植入时间为：2022/03/17，且在该机器上发现了攻击者利用Redis未授权获得本机SSH管理权限的行为和内网扫描行为。

综上，攻击者通过利用Redis未授权漏洞获取了Redis服务器本机SSH管理权限，并对同网段进行扫描，发现TRS服务器存在漏洞，并对该漏洞进行利用，获取TRS服务器权限并植入Webshell后门文件，由于TRS服务器与WEB负载服务器均使用相同密码，攻击者通过密码登录到WEB负载服务器，植入后门文件，并在官网首页文件中插入恶意代码。

防护建议

• 系统、应用相关的用户杜绝使用弱口令，同时，应该使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强管理员安全意识，禁止密码重用的情况出现
• 禁止外部访问Redis服务端口，禁止使用root权限启动redis服务，配置安全组，限制可连接Redis服务器的IP
• 安装webshell检测工具，根据检测结果对已发现的可以webshell痕迹立即隔离查杀，并排查漏洞
• 加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等
• 日常要多维护，并注意服务器中是否有来历不明的可执行脚本文件
• TRS服务升级为最新版本