Redis-Server infiziert
75 Prozent der über das Internet erreichbaren Redis-Server sind mit Trojanern infiziert, informierte heise.de unter Berufung auf die Warnungen der Sicherheitsforscher von Imperva. Der Grund dafür sind unsichere Konfigurationen der Server.
Wie es weiter dazu heißt sind Redis-Datenbänke eigentlich dafür geschaffen, dass der Abruf in vertrauenswürdigen Umgebungen stattfindet. Zum Beispiel in einem Intranet einer Firma. Das Problem ist, dass viele Admins offensichtlich den Fernzugriff aktivieren und so die Erreichbarkeit über das Internet gewähren. Redis besitzt keine Zugriffskontrolle und ohne die Aktivierung der Authentifikation in der Konfigurationsdatei gibt es keinen Schutz. Daneben liegen die Daten unverschlüsselt in Redis-Datenbanken.
72.000 offen erreichbare Redis-Server
Die Sicherheitsforscher von Imperva sind nach eigenen Angaben über die Suchmaschine Shodan auf 72.000 offen erreichbare Redis-Server gestoßen. Davon sollen rund 10.000 mit Malware infiziert sein. Oft sollen Kriminelle Krypto-Miner auf Geräten installieren. In einem Monat fanden rund 75.000 Angriffsversuche auf die Test-Redis-Server der Sicherheitsforscher statt.
Oft sollen sich auf kompromittierten Servern auch SSH-Schlüssel befinden. Damit können Angreifer immer wieder eine Verbindung zum Opfer aufbauen, um beispielsweise Daten abzuziehen.
Tipps zur Server-Absicherung
- Wer seinen Redis-Server absichern will, sollte die Verbindung zum Internet kappen.
- Ist ein Zugriff von außen unabdingbar, sollte man dringend die Authentifizierung einschalten.
- Zusätzlich sollte Redis mit möglichst niedrigen Rechten laufen.
- Darüber hinaus sollten aufgrund einer fehlenden Verschlüsselung keine vertraulichen Informationen in der Datenbank abgelegt werden, so heise.de.
Eine stark steigende CPU-Last zeigt an, dass der Server kompromittiert wurde und Krypto-Währung schürft.
Weiterführende Links:
Imperva Blog: Research shows 75% of ‘open’ Redis servers infected
