Привет всем, меня зовут Никита, я начинающий backend-разработчик. Сегодня хочу вам рассказать про атаку, которая произошла при изучении новой технологии, а именно redis'а.
Сразу хочу сказать, что статья не претендует на какие-то сакральные знания, скорее рассчитана на новичков, которые используют новые технологии впервые. Тут будет просто небольшая история, с которой я столкнулся впервые и очень сильно удивился.
Итак, с чего же все началось? Да с того, что я решил поиграться redis'ом на своем пет-проекте, который позволяет массово откликнуться на вакансии по определенным параметрам, буквально за пару минут. До этого redis не использовал нигде, а лишь просто слышал о нем. Подключив контейнер, написав код для добавления ключей и извлечению информации по ключам, решил протестировать. И о чудо, все прекрасно работает, данные сохраняются и данные извлекаются, все просто, можно идти пить пиво айс-латте со спокойной душой.
Но не все так просто, иначе этой статьи тут не было бы. Проходит пол часа и мои ключики с информацией испаряются. Что? Почему? Аче всмысле?
Первое, что приходи на ум, видимо это как-то связано с оперативной памятью и потерей информации, а я даже ничего не настраивал для сохранения данных физически, а именно redis.conf у меня отсутствовал, мою теорию подтверждает и чатгпт, думаю ладно, настроим конфигурацию. Но тут возникли небольшие трудности, как будто мой redis сервер не получил информацию об конфигурации с redis.conf. Чуть позже я выяснил, что на самом деле получал и это ключевой момент в моей истории.
Обратившись, к уважаемым экспертам, на хабр вопрос, получал ответы лежащие на поверхности, про ошибку, которую упомянул, но вопрос заключался немного в другом. Но именно с одним человеком мне удалось заметить действительно странное явление, а именно, что моя конфигурация сбрасывалась и менялась на другую.
В конечном счете, погуглив странное явление, я наткнулся на англоязычный форум, а там увидел достаточно четкое описание этой "странности" - ваш сервер скомпрометирован. Как оказалось это известный паттерн атаки.
Дело в том, что мой redis-сервер не был защищен и кто-то посторонний пытался поменять конфигурацию для того, чтобы скомпрометировать мой vps для дальнейших нехороших действий. Интересный факт, атаке подвергся буквально спустя 30 минут после деплоя.
В заключение, я хочу сказать, что проблема решается очень простым способом, достаточно защитить свой redis-сервер паролем и юзернеймом, для надежности еще можно поменять порты. Будьте внимательны, даже если тренируетесь, думайте о безопасности всегда.
У вас есть какие-нибудь истории, когда ваш сервер был скомпрометирован? Или вы может сами подвергали кого-то атаке? Было бы интересно почитать в комментариях!