【漏洞概述】
redis 預設情況下,會繫結在 0.0.0.0:6379,導致redis服務暴露到公網上。
如果在沒有開啟認證並且在任意使用者可以訪問目標伺服器的情況下,從而可以未授權訪問redis服務,進一步可進行資料增刪改查,甚至獲取伺服器許可權等惡意操作。
【風險等級】
高風險
【漏洞風險】
主機被遠端控制,洩漏敏感業務資料;
【漏洞利用條件】1
. redis服務以root賬戶執行;
2. redis無密碼或弱密碼進行認證;
3. redis監聽在0.0.0.0公網上;
【加固建議】
1. 禁止redis服務對公網開放,可通過修改redis.conf配置檔案中的"#bind 127.0.0.1" ,去掉前面的"#"即可(redis本來就是作為記憶體資料庫,只要監聽在本機即可);
2. 設定密碼訪問認證,可通過修改redis.conf配置檔案中的"requirepass" 設定複雜密碼 (需要重啟redis服務才能生效);
3. 對訪問源ip進行訪問控制,可在防火牆限定指定源ip才可以連線redis伺服器;
4. 修改redis預設埠,將預設的6379埠修改為其他埠;
5. 禁用config指令避免惡意操作,在redis配置檔案redis.conf中配置rename-command項"rename_config",這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度;
6. redis使用普通使用者許可權,禁止使用 root 許可權啟動redis 服務,這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通使用者許可權,無法獲取root許可權;
【清理木馬】1
. 阻斷伺服器通訊。
(如iptables -a input -sxmr.crypto-pool.fr -j drop and iptables -a output -d xmr.crypto-pool.fr -jdrop)2.
清除定時器任務。
(如systemctl stop crond 或者crontab –e 刪除未知的計畫任務)3.
刪除木馬和未知公鑰檔案。
(如 /tmp/circle_mi.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權;chmod –x 惡意程式)4.
終止木馬程序。
(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)5.
終止惡意service
(檢視是否有惡意的服務,如lady - service ladystop)
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案。如果redis以root身份執行,黑客可以給root賬...
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案,如果redis以root身份執行,黑客可以給root賬...
redis未授權訪問漏洞
1 什麼是redis?redis是乙個開源的使用ansi c語言編寫 支援網路 可基於記憶體亦可持久化的日誌型 key value資料庫,並提供多種語言的api。2.redis 未授權訪問是什麼漏洞?redis是預設繫結在0.0.0.0 6379,並且沒有開啟認證,如果沒有採取相關的一些策略,比如新...