Неизвестный злоумышленник атаковал десятки тысяч не аутентифицированных серверов Redis, доступ к которым открыт из Интернета, в попытке установить криптовалютный майнер. Неизвестно, сколько из этих серверов были успешно взломаны.
Данный инцидент произошёл благодаря «малоизвестной технике» для записи произвольных данных на сервера. Впервые подобный случай несанкционированного доступа был задокументирован в сентябре 2018 года.
«Общая идея этой техники эксплуатации заключается в том, чтобы настроить Redis на запись своих файлов на сервер, содержащих какой-либо метод для авторизации пользователя или запуска процесса», — говорится в сообщение Censys.
После анализа попыток компрометации экземпляров Redis было вывлено, что злоумышленник сохранял вредоносные записи в Crontab-файл, что приводило к выполнению Shell-кода на удалённом сервере. Также, SSH-ключи для доступа к системе были загружены на почти 16 тыс. серверов. Советуем следить за тем, какие ваши службы доступны из Интернета.