【漏洞概述】
redis 預設情況下,會繫結在 0.0.0.0:6379,導致redis服務暴露到公網上。
如果在沒有開啟認證並且在任意使用者可以訪問目標伺服器的情況下,可以未授權訪問redis服務,進一步可進行資料增刪改查,甚至獲取伺服器許可權等惡意操作,屬於高風險漏洞
【漏洞利用條件】
\1. redis服務以root賬戶執行;
\2. redis無密碼或弱密碼進行認證;
\3. redis監聽在0.0.0.0公網上;
【防範建議】
\1. 禁止redis服務對公網開放,可通過修改redis.conf配置檔案中的"#bind 127.0.0.1" ,去掉前面的"#"即可(redis本來就是作為記憶體資料庫,只要監聽在本機即可);
\2. 設定密碼訪問認證,可通過修改redis.conf配置檔案中的"requirepass" 設定複雜密碼 (需要重啟redis服務才能生效); 3. 對訪問源ip進行訪問控制,可在防火牆限定指定源ip才可以連線redis伺服器;
\4. 修改redis預設埠,將預設的6379埠修改為其他埠;
\5. 禁用config指令避免惡意操作,在redis配置檔案redis.conf中配置rename-command項"rename_config",這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度;
\6. redis使用普通使用者許可權,禁止使用 root 許可權啟動redis 服務,這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通使用者許可權,無法獲取root許可權;
【清理木馬】
\1. 阻斷伺服器通訊。
(如iptables -a input -sxmr.crypto-pool.fr -j drop and iptables -a output -d xmr.crypto-pool.fr -jdrop)
\2. 清除定時器任務。
(如systemctl stop crond 或者crontab –e 刪除未知的計畫任務)
\3. 刪除木馬和未知公鑰檔案。
(如 /tmp/circle_mi.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權;chmod –x 惡意程式)
\4. 終止木馬程序。
(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)
\5. 終止惡意service
(檢視是否有惡意的服務,如lady - service ladystop)
問答redis有備份嗎?
redis勒索事件爆發,如何避免從刪庫到跑路?
cynosdb for postgresql 架構**
海量技術實踐經驗,盡在雲加社群!
Redis系列 如何應對Redis變慢
redis變慢的乙個重要原因是主線程阻塞,其他的如過期key的操作,作業系統swap 記憶體大頁也是重要的原因。在討論如何變慢之前,我們需要知道redis的哪些操作會阻塞主線程。1.網路io使用的是多路復用機制,因此不會阻塞 2.o n 的查詢操作和大批量的刪除需要遍歷全部,可能會阻塞主線程 集合元...
Redis 有哪些危險命令?如何防範?
redis 有哪些危險命令?redis 的危險命令主要有以下幾個 1.keys 客戶端可查詢出所有存在的鍵。2.flushdb 刪除 redis 中當前所在資料庫中的所有記錄,並且此命令從不會執行失敗。3.flushall 刪除 redis 中所有資料庫中的所有記錄,不止是當前所在資料庫,並且此命令...
如何防止勒索病毒和惡意攻擊
的勒索病毒軟體業務模式已成為犯罪分子利潤豐厚的行業。多年來,它的不良聲譽使執法團隊與國際機構合作,以確定並摧毀詐騙經營者。過去發生的大多數勒索軟體攻擊都與員工的保護措施不良有關。不要支付贖金。即使支付了贖金,也無法保證您能夠重新獲得對檔案的訪問許可權。從已知良好的備份中還原任何受影響的檔案。從備份恢...