{"id":204948,"date":"2018-06-01T18:58:01","date_gmt":"2018-06-01T16:58:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=204948"},"modified":"2018-10-26T11:08:04","modified_gmt":"2018-10-26T09:08:04","slug":"75-der-offenen-redis-server-sind-mit-malware-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/01\/75-der-offenen-redis-server-sind-mit-malware-infiziert\/","title":{"rendered":"75 % der offenen Redis-Server sind mit Malware infiziert"},"content":{"rendered":"

Beunruhigende Entdeckung: Die \u00fcberwiegende Mehrheit der Redis-Server, die im Internet ohne Authentifizierungssystem offen gelassen werden, beherbergen h\u00f6chstwahrscheinlich Malware. Zu diesem Schluss kamen die Experten des Sicherheitsanbieters Imperva, nachdem sie in den letzten Monaten Redis-basierte Honeypot-Server betrieben haben.<\/p>\n

<\/p>\n

Was ist ein Redis-Server<\/h2>\n

Wer einen Redis-Server betreibt, wird gen\u00fcgend Anhaltspunkt habe, um diese Erkl\u00e4rung \u00fcberspringen zu k\u00f6nnen. F\u00fcr die restlichen Blog-Leser einige kurze Erl\u00e4uterungen. Laut Wikipedia<\/a> ist:<\/p>\n

Redis<\/b> eine In-Memory-Datenbank mit einer einfachen Schl\u00fcssel-Werte-Datenstruktur (englisch: key value store<\/i>). Redis geh\u00f6rt zur Familie der NoSQL-Datenbanken Nach einer Erhebung von DB-Engines.com<\/i> ist Redis der verbreitetste Schl\u00fcssel-Werte-Speicher.<\/p><\/blockquote>\n

Die einfache Struktur der Datenbank eignet sich weniger f\u00fcr komplexe Datenstrukturen, die \u00fcberwiegend in der Datenbank selbst abgebildet werden sollen. Vielmehr kommt Redis in einigen F\u00e4llen wegen seiner Schnelligkeit zum Einsatz.<\/p>\n

Offene Redis-Server werden infiziert<\/h2>\n

Bleeping Computer berichtet hier<\/a> unter Berufung auf Experten des Sicherheitsanbieters Imperva \u00fcber diesen Fall. Das Unternehmen hat in den letzten Monaten Redis-basierte Honeypot-Server betrieben. Dabei wurde bereits der Crypto-Miner ReddisWannaMine entdeckt, der offene, also ohne Zugangsdaten betriebene, Redis-Server bef\u00e4llt.<\/p>\n

Wiederverwendung von SSH-Schl\u00fcsseln offenbart Botnet-Operationen<\/strong><\/p>\n

Bei der Beobachtung der Honeypot Redis-Server fiel ein Muster auf. Angreifer installierten immer wieder SSH-Schl\u00fcssel auf dem kompromittierten Redis-Server, damit sie zu einem sp\u00e4teren Zeitpunkt darauf zugreifen konnten. Offenbar wurden die SSH-Schl\u00fcssel von einem Botnetz verwendet.<\/p>\n

\"Wir haben festgestellt, dass verschiedene Angreifer die gleichen Schl\u00fcssel und\/oder Werte verwenden, um Angriffe auszuf\u00fchren\", sagte Imperva, \"ein gemeinsamer Schl\u00fcssel oder Wert zwischen mehreren Servern ist ein deutliches Zeichen f\u00fcr eine b\u00f6sartige Botnet-Aktivit\u00e4t\".<\/p>\n

Imperva-Experten nahmen die per Honey Pot gesammelten SSH-Schl\u00fcssel und scannten offen im Internet erreichbare Redis-Server auf das Vorhandensein dieser Schl\u00fcssel. Laut Shodan sind rund 72.000 Redis-Server im Internet erreichbar. \u00dcber 10.000 dieser Server antwortete auf einen Scan und l\u00f6ste keinen Fehler aus. Dies erm\u00f6glichte den Sicherheitsexperten die lokal installierten SSH zu \u00fcberpr\u00fcfen. \u00dcber 75% dieser Server verwenden einen SSH-Schl\u00fcssel, von dem bekannt ist, dass er mit einem Malware-Botnet-Betrieb in Verbindung steht.<\/p>\n

Manche Server sind seit 2 Jahren mit solchen SSH-Schl\u00fcsseln kompromiertiert, da Redis default nicht abgesichert ist. Details lassen sich im Artikel von Bleeping Computer<\/a> nachlesen. Frage: Betreibt jemand von euch Redis-Server mit Internet-Zugang?<\/p>\n","protected":false},"excerpt":{"rendered":"

Beunruhigende Entdeckung: Die \u00fcberwiegende Mehrheit der Redis-Server, die im Internet ohne Authentifizierungssystem offen gelassen werden, beherbergen h\u00f6chstwahrscheinlich Malware. Zu diesem Schluss kamen die Experten des Sicherheitsanbieters Imperva, nachdem sie in den letzten Monaten Redis-basierte Honeypot-Server betrieben haben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-204948","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204948"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204948\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}