Redis安全漏洞影響及加固方法

2021-08-29 00:02:33 字數 2742 閱讀 7105

redis安全漏洞影響及加固方法

redis安全漏洞影響:

1、 redis因配置不當可以未授權訪問,很容易被攻擊者惡意利用。如果redis以root身份執行,黑客可以給root賬戶寫入ssh公鑰檔案,直接通過ssh登入、控**務器,引發重要資料洩露或丟失,嚴重威脅使用者業務和資料安全,風險極高,業界將此漏洞定位為高危漏洞。

2、 當前業界已暴出多起因redis漏洞導致主機被入侵、業務中斷、資料丟失的安全事件,請使用者務必警惕該漏洞的嚴重危害,防止造成無法挽回的損失。

2.2 賬號執行許可權

2.2.1 低許可權賬戶

設定單獨的redis賬戶執行redis,redis crackit漏洞就利用root使用者的特性來重置authorized_keys從而達到控制系統主機的目的,使用普通帳號執行redis可以降低被利用的風險,如下:

建立乙個redis賬戶,然後通過該賬戶啟動redis,命令如下:

su - redis -c " /redis/bin/redis-server /redis/etc/redis.conf"

使用程序檢視ps aux|grep redis-server可見程序以redis執行

redis 3384 0.8 0.1 137440 4168 ? ssl 17:43 0:00 /redis/bin/redis-server 192.168.196.133:6379

2.2.2 認證

redis 預設沒有開啟密碼認證,風險極高。手動開啟認證方法:

1、開啟/etc/redis/redis.conf配置檔案,加入語句:requirepass z1e4tnzogk# 將認證密碼設定為了z1e4tnzogk#(此密碼為示例,請自行設定其它密碼並妥善保管,務必注意密碼複雜度不要使用含有鍵盤特徵的密碼)

2、儲存redis.conf,重啟redis(/etc/init.d/redis-server restart)

3 常見木馬查殺方法:

一、異常程序的判斷

1、 使用top命令檢視當前系統程序運**況,檢查是否有異常程序,如下圖占用cpu較高的程序名為一些隨機字母組成(木馬程式)

2、 檢查其他一些名字的程序如:.sshd、getty等等,如與業務及系統無關但占用較多系統資源的程序均需留意

指令:ps aux|grep 「bsd-port/getty」

ps aux|fgrep 「.sshd」

3、 用netstat -anp命令檢視異常網路連線程序,以下可以看到以下標紅的程序異常,因該程序使用的程序名為uptime,另外連線的遠端伺服器端口為2444為非常用埠

2016-01-25 15:26:40||csa-dev-provision-001||192.168.0.5||netstat -anp||tcp 0 0 0.0.0.0:22 0.0.0.0:* listen 1444/sshd

2016-01-25 15:26:40||csa-dev-provision-001||192.168.0.5||netstat -anp||tcp 0 0 127.0.0.1:631 0.0.0.0:* listen 1440/cupsd

2016-01-25 15:26:40||csa-dev-provision-001||192.168.0.5||netstat -anp||tcp 0 0 127.0.0.1:25 0.0.0.0:* listen 2042/master

2016-01-25 15:26:40||csa-dev-provision-001||192.168.0.5||netstat -anp||tcp 18888 0 192.168.0.5:60482 183.60.202.2:2444 established 1459/uptime

4、 在判斷到程式程序異常時,使用lsof –p 程序號方式可以看到該程序啟動的程式路徑,可以進一步確認是否為木馬,木馬程式一般會存放在/root、 /tmp等路徑下,

二、 木馬檔案的查殺清除

1、 這些程序如果通過kill -9 pid命令殺掉,不久又會出現類似的程序。這可能是因為在/etc/cron.hourly中有自啟動項(gcc4.sh、kill.sh),且木馬程序會相互守護,一旦其中乙個木馬被殺掉後,其他木馬程式會很快重啟乙個新的木馬程序。此時應該通過kill –stop pid將木馬程序暫時停止,等將後續對應的木馬檔案全部清除後,再將程序徹底殺掉(kill -9)

2、 通過lsof –p pid檢視木馬程序對應的檔案所在目錄,找到所有可疑的木馬檔案並刪除。常見被感染檔案路徑(不排除其他路徑):/root/、/tmp、 /bin、/usr/sbin、/sbin、/etc/init.d、/var/tmp 木馬被寫入啟動項:/etc/init.d/

3、 在/bin下的netstate、ps和/usr/sbin下的lsof等系統命令被替換成木馬檔案(原始系統檔案在/usr/bin/dpkgd下,刪除木馬後自行替換回來即可):

執行cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

4、 通過kill -9 pid命令殺掉所有可疑木馬程序。

5、 清除免密登入檔案:/root/.ssh/authorized_keys

6、 檢查是否存在未知的新建系統賬號,如『redistoor』,有則刪除;修改常用賬號密碼

Redis安全漏洞

redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...

redis 安全漏洞防禦

一 埠安全 限制客戶端ip以及修改密碼 置redis密碼 找到requirepass,設定新的密碼 將 redis 啟動在 127.0.0.1 上 一般建議方案是將 redis 啟動在 127.0.0.1 上 但是這種方式不能跨伺服器訪問,一般方式是將 redis 放到內網,防止公網檢測。如果服務部...

Linux Glibc庫嚴重安全漏洞及修復方法

日前linux gnu glibc標準庫的 gethostbyname函式爆出緩衝區溢位漏洞,漏洞編號為cve 2015 0235。黑客可以通過gethostbyname系列函式實現遠端 執行,獲取伺服器的控制權及shell許可權,此漏洞觸發途徑多,影響範圍大,請大家關注和及時臨時修復,後續我們會盡...