Beunruhigende Entdeckung: Die überwiegende Mehrheit der Redis-Server, die im Internet ohne Authentifizierungssystem offen gelassen werden, beherbergen höchstwahrscheinlich Malware. Zu diesem Schluss kamen die Experten des Sicherheitsanbieters Imperva, nachdem sie in den letzten Monaten Redis-basierte Honeypot-Server betrieben haben.
Anzeige
Was ist ein Redis-Server
Wer einen Redis-Server betreibt, wird genügend Anhaltspunkt habe, um diese Erklärung überspringen zu können. Für die restlichen Blog-Leser einige kurze Erläuterungen. Laut Wikipedia ist:
Redis eine In-Memory-Datenbank mit einer einfachen Schlüssel-Werte-Datenstruktur (englisch: key value store). Redis gehört zur Familie der NoSQL-Datenbanken Nach einer Erhebung von DB-Engines.com ist Redis der verbreitetste Schlüssel-Werte-Speicher.
Die einfache Struktur der Datenbank eignet sich weniger für komplexe Datenstrukturen, die überwiegend in der Datenbank selbst abgebildet werden sollen. Vielmehr kommt Redis in einigen Fällen wegen seiner Schnelligkeit zum Einsatz.
Offene Redis-Server werden infiziert
Bleeping Computer berichtet hier unter Berufung auf Experten des Sicherheitsanbieters Imperva über diesen Fall. Das Unternehmen hat in den letzten Monaten Redis-basierte Honeypot-Server betrieben. Dabei wurde bereits der Crypto-Miner ReddisWannaMine entdeckt, der offene, also ohne Zugangsdaten betriebene, Redis-Server befällt.
Wiederverwendung von SSH-Schlüsseln offenbart Botnet-Operationen
Anzeige
Bei der Beobachtung der Honeypot Redis-Server fiel ein Muster auf. Angreifer installierten immer wieder SSH-Schlüssel auf dem kompromittierten Redis-Server, damit sie zu einem späteren Zeitpunkt darauf zugreifen konnten. Offenbar wurden die SSH-Schlüssel von einem Botnetz verwendet.
"Wir haben festgestellt, dass verschiedene Angreifer die gleichen Schlüssel und/oder Werte verwenden, um Angriffe auszuführen", sagte Imperva, "ein gemeinsamer Schlüssel oder Wert zwischen mehreren Servern ist ein deutliches Zeichen für eine bösartige Botnet-Aktivität".
Imperva-Experten nahmen die per Honey Pot gesammelten SSH-Schlüssel und scannten offen im Internet erreichbare Redis-Server auf das Vorhandensein dieser Schlüssel. Laut Shodan sind rund 72.000 Redis-Server im Internet erreichbar. Über 10.000 dieser Server antwortete auf einen Scan und löste keinen Fehler aus. Dies ermöglichte den Sicherheitsexperten die lokal installierten SSH zu überprüfen. Über 75% dieser Server verwenden einen SSH-Schlüssel, von dem bekannt ist, dass er mit einem Malware-Botnet-Betrieb in Verbindung steht.
Manche Server sind seit 2 Jahren mit solchen SSH-Schlüsseln kompromiertiert, da Redis default nicht abgesichert ist. Details lassen sich im Artikel von Bleeping Computer nachlesen. Frage: Betreibt jemand von euch Redis-Server mit Internet-Zugang?
Anzeige
