【威胁预警】Redis挖矿病毒预警

通过白帽汇安全研究院监测发现，近1个多月以来Redis挖矿病毒日益猖獗，出现诸多变种。目前已有国外安全研究人员曝出一款挖矿病毒。

此次挖矿病毒主要利用的是Redis的未授权访问，通过写入计划任务实现病毒的植入，并从事挖矿活动。目前通过北京华顺信安FOFA系统显示，目前FOFA系统中有超过9万个Redis服务对外开放，其中中国接近一半，形式严峻。需要广大用户警惕，加强Redis安全防护，做好安全防护措施，避免带来不必要的麻烦和损失。

根据FOFA系统数据显示，Redis对外开放中国开放最多主要是中国和美国，中国对外开放接近5万（包含港澳台地区），美国共有21016台对外开放。

国内地区中浙江省开放最多，有超过26000台对外开放；其次是北京，共有8701台；排在第三的是香港特别行政区，共有2183台；第四是广东省，共有2009台。

Redis全球网络资产分布情况（仅为分布情况非影响情况）

中国网络资产分布情况（仅为分布情况非影响情况）

漏洞原理与危害

由于Redis服务默认开启并不需要认证，同时绑定了0.0.0.0这个地址。在外网服务器运行时，即可对外开放端口。任意攻击者可通过未授权访问的redis，通过写入计划任务或ssh认证密钥的方式来获取系统权限，进而控制服务器进行恶意挖矿等操作。

经过白帽汇安全研究院分析，病毒主要通过Linxu系统的计划任务下载并执行sh脚本，该脚本会结束一些同类进程，并通过iptables关闭Redis对外开放的端口来达到“独享”该服务器的功能。并启动挖矿程序进行挖矿。病毒还利用transfer.sh平台存储相关脚本和文件。白帽汇安全研究院最早在2018年4月10日便发现类似病毒的活动迹象，而通过白帽汇安全研究院监测发现病毒逐渐活跃。

蜜罐程序捕获到的Redis挖矿记录

通过Redis下载并执行的脚本部分内容

修复建议

1、建议Redis端口不对外开放服务，如有必要，请为Redis增加鉴权信息，即添加复杂的密码，同时不要使用弱口令。
2、使用系统自带的防火墙或者iptables等对redis端口进行安全设置。

白帽汇会持续对该漏洞进行跟进。后续可以关注链接。

参考

[1] https://isc.sans.edu/forums/diary/Anatomy+of+a+Redis+mining+worm/23673/

北京华顺信安从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。