Как уже сообщалось ранее, из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB, Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы, отдавая свои данные всем желающим без аутентификации. Данные системы рассчитаны только на использование во внутренней сети, но из-за недосмотра администраторов часто прикрепляются к внешнему сетевому интерфейсу без блокировки доступа на межсетевом экране. Исследователи из компании Risk Based Security проанализировали публично доступные 30239 экземпляров СУБД Redis и пришли к выводу, что на 6338 серверах наблюдаются следы вредоносной активности.
В частности, в БД имеется ключ "crackit" (или в единичных случаях "crackit_key", "qwe", "ck", "crack"), который выступает признаком взлома, а на сервере сохранён SSH-ключ, как правило связанный с 14 различными email. Всего выявлено 40 комбинаций вредоносных ssh-ключей, 5892 ключа связаны с ryan@exploit.im, 385 c root@chickenmelone.chicken.com, 211 c root@dedi10243.
...
Читать дальше »