Откуда появилась переменная x в Redis?

Question

[Kirgus]

Арендовал VPS, поднял на нём сервер Redis и открыл его порт в интернет с помощью файрвола (только для своего домашнего IP-адреса), в Redis установлен сложный пароль.
Сегодня смотрю, и вижу, что в Redis в database №0 появилась переменная x, в которой лежит строка вида "ssh-rsa
<много-много символов, может быть ключ RSA> root@localhost.localdomain".
До этого пытался подключиться к Redis с помощью JetBrains DataGrip, но не вышло из-за проблем с аутентификацией.
Откуда и для чего это?

Comments

[VoidVolker]

Либо какой-то софт добавил этот ключ либо всё же не полностью закрыли редис свой от интернета. Тут лучше запустить редис локально на localhost, а в домашнюю сеть пробросить ваш сервер через туннель - SSH, VPN, WG и прочие.

[szQocks]

Скорее всего после всех манипуляций с редис, ты юзал какую-то программу которая добавила этот ключ, либо ты не закрыл redis от внешнего мира, хотя написано что якобы закрыл, и злоумышленник реально туда её вписал

[paran0id]

Видел своими глазами хакнутый таким образом редис. Видимо, всё же торчит наружу.

[Kirgus]

szQocks, я пытался в JetBrains DataGrip подключиться к этому Redis, но не получалось пройти аутентификацию из-за того, я указывал пароль без пользователя. Возможно Redis добавил в себя этот ключ при попытке авторизации DataGrip

[Kirgus]

[szQocks]

Kirgus, сам подумай, если ты закрыл свой редис от внешнего мира как эта "JetBrains DataGrip" - подключиться к твоему редис ? если у тебя нет необходимости использовать JetBrains DataGrip и тому подобные инструменты для своих баз данных, то не используй их

делай так как написал VoidVolker , закрыть редис для внешнего мира, прикрутить его слушать только localhost, и использовать туннели с использованием ssh

ты знаешь что такое туннели ? это когда ты со своего компа открыл любую удобную программу мониторинга для редиса ( их дофига, можно скачать любую в инете ), и смотришь удалённо что у тебя там в редисе происходит на хосте ( то есть удалённо управляешь со своего компа базами данных на хосте )

но предположим что твой начальник попросил прикрутить JetBrains DataGrip к вашему хосту, тут я могу всего лишь посочувствовать тебе

[Kirgus]

szQocks, Вы видимо не читали мой вопрос. Прочитайте, пожалуйста, внимательно первое предложение моего вопроса или посмотрите правила ufw на скриншоте выше :)

[szQocks]

Kirgus, да я вижу скрин, который был сделан непонятно когда, толку мне от него

если ты закрыл радис от внешнего мира, как ты собирался подключить JetBrains DataGrip ? полностью доступ к хосту дать ? или через себя проксировать ? тебе не кажется это странным ? скорее всего ты сам этот ключ туда запихал

[Kirgus]

szQocks, прочитай мой вопрос пожалуйста))) первое предложение)))

открыл его порт в интернет с помощью файрвола (только для своего домашнего IP-адреса)

Соответствующее правило ufw представлено на скриншоте

[szQocks]

Kirgus,

прочитай мой вопрос пожалуйста))) первое предложение)))

- я прочитал и ответил на это, жду ответов

если ты закрыл радис от внешнего мира, как ты собирался подключить JetBrains DataGrip ? полностью доступ к хосту дать ? или через себя проксировать ? тебе не кажется это странным ? скорее всего ты сам этот ключ туда запихал

[Kirgus]

szQocks, я подключаю DataGrip напрямую, без всяких проксирований и прочего.

Answer 1

[Сергей Соколов]

Вот тут описан хак Redis'а, когда в него прописывают ключ-значение с ssh-ключом, конфигурят бэкап в файл вместо dump.rdb в ~/.ssh/authorized_keys, и, вуаля, злодей получает SSH на машину.

Т.е. видимо, у вас Redis торчал наружу какое-то время, достаточное для обнаружения сего факта злодейским обходчиком. К счастью, если сам Redis был запущен внутри контейнера, то и ключ прописался внутри контейнера, и эта атака ни к чему не привела.

Comments

[Kirgus]

Я сначала включил тотальную блокировку в ufw, и только потом установил контейнер с Redis.
Это очень странно.
Но спасибо за интересную информацию

[Сергей Соколов]

Kirgus, вот пишут про косяк ufw vs. Docker:
https://github.com/chaifeng/ufw-docker

Т е. вероятно секьюрные правила ufw игнорировались и редис торчал наружу для всех.

[Сергей Соколов]

Посмотрите из любопытства настройки

CONFIG GET dbfilename
CONFIG GET dir

на "хакнутом" редисе.

[Kirgus]

Сергей Соколов, /data/dump.rdb

[Kirgus]

Сергей Соколов, капец