redis全部key莫名消失——redis被攻击
刚刚接触redis不久,对redis也只是做了一些简单的配置,所以,在刚刚使用的时候,也仅仅是将redis的环境搭建好,至于redis的端口(6379)和密码(redis默认配置没有密码)也没有做更改。
前一段时间,偶然的发现,有时候redis里面的数据莫名其妙的全部被清除掉了,刚开始总是以为是redis哪里配置的有问题,可能配置的有定时清空数据库的机制吧,但是找了一圈没有发现redis有类似的配置。随后开始研究redis.conf配置文件,首先将redis的log级别提升到最高,也就是debug的级别,
debug的打印信息如下:
[16279] 08 Dec 17:39:09.340 - DB 0: 70 keys (0 volatile) in 128 slots HT.
[16279] 08 Dec 17:39:09.340 - 0 clients connected (0 slaves), 829448 bytes in use
[16279] 08 Dec 17:39:13.047 * 10 changes in 300 seconds. Saving...
[16279] 08 Dec 17:39:13.047 * Background saving started by pid 16324
[16324] 08 Dec 17:39:13.070 * DB saved on disk
[16324] 08 Dec 17:39:13.071 * RDB: 0 MB of memory used by copy-on-write
[16279] 08 Dec 17:39:13.147 * Background saving terminated with success
[16279] 08 Dec 17:39:14.349 - DB 0: 70 keys (0 volatile) in 128 slots HT.
会将当前连接的客户端个数,你使用的数据库,当前存储的key个数,设置过期的key个数(0 volatile),快照的保存时间,状态,打印出来。当有客户端连接,会将客户端的ip打印
[16279] 08 Dec 17:40:05.187 - Accepted 123.57.41.84:44459
过了大概两天左右,又发现数据被清除了,这时在看看redis的log
[16279] 10 Dec 07:05:39.105 - DB 0: 78 keys (0 volatile) in 128 slots HT.
[16279] 10 Dec 07:05:39.105 - 0 clients connected (0 slaves), 856544 bytes in use
[16279] 10 Dec 07:05:40.468 - Accepted 221.194.44.175:34038
[16279] 10 Dec 07:05:40.508 * DB saved on disk
[16279] 10 Dec 07:05:40.530 - Client closed connection
[16279] 10 Dec 07:05:40.565 - Accepted 221.194.44.175:34041
[16279] 10 Dec 07:05:40.584 - Accepted 221.194.44.175:34042
[16279] 10 Dec 07:05:40.627 * DB saved on disk
[16279] 10 Dec 07:05:40.627 - Client closed connection
[16279] 10 Dec 07:05:40.627 - Accepted 221.194.44.175:34043
[16279] 10 Dec 07:05:40.645 - Client closed connection
[16279] 10 Dec 07:05:40.660 - Client closed connection
[16279] 10 Dec 07:05:40.681 - Accepted 221.194.44.175:34045
[16279] 10 Dec 07:05:40.705 - Client closed connection
[16279] 10 Dec 07:05:40.722 - Accepted 221.194.44.175:34047
[16279] 10 Dec 07:05:40.736 - Client closed connection
[16279] 10 Dec 07:05:44.136 - DB 0: 1 keys (0 volatile) in 4 slots HT.
[16279] 10 Dec 07:05:44.136 - 0 clients connected (0 slaves), 755920 bytes in use
很明显,在七点零五分的时候还有78个key,此时有客户端连接上来,数据悲剧了,只剩下了一个key,立马打开redis的aof文件,看看是不是此时有人执行了清空redis的操作
$8
flushall
*3
$3
set
$7
crackit
$398
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApC0OZYaozpKXFCagPTUQ0eqIXbeX+u/tSYDVrMpMXxswTxi9uZ4SKUsOKemVsGcp5YNGJ8HhB8KBoejGkTrAE7v9Sl5zwG6xMAjSj0ZBlcW80h4M0uC5Ntb95BX9bUBbUPJf70eZ5Phe2zrO9RM1Rd96HZxuFjNOw3JKMIs/Lw/qm33FIm4z1j9dnMJ5h7BYz1Fkr6hl12GvhpTZWcfgg/BzZsb0oAJGLJd5km6KPGmn0oJGMaqCbiD2ynfgQo0kpTlJExikfZe8BE0CAHAxrXNGb+cPOc1HZt7cwXQfo+Y88vG4BdfNRC1CyQTr8ZcIV7KUxSwsc/8HuUEuPVZm7Q== root@cloud
*4
$5
很明显的看到flushall的命令,就是将redis中所有的key清除,并且写了一个key为crackit的一堆有关于ssh的神马东西,ok当下百度了一下redis crackit,铺天盖地的redis被黑的新闻,好吧,终于知道原因了,由于没有设置密码,还有使用了默认的redis端口,黑客通过扫描redis的端口,不是用密码也可以连接到你的redis库中,既然连接了上来肯定是要来搞一些事情,把你的redis清空并不是目的,看到存入的那一段ssh的东西了吗,这个才是关键。利用redis将服务器的ssh公钥替换,也就是说如果你使用的root用户启动的redis,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。
经过试验,确实可以使用ssh免密登录到目标服务器中(具体的步骤可以百度一下redis crackit),
目前大多数人的解决方案:
1,以非 root 权限启动 Redis
2,增加 Redis 密码验证
3,禁止公网开放 Redis 端口, 例如可以在青云防火墙上禁用 6379 Redis 的端口
4,检查 authorized_keys 是否非法
也可以根据情况对服务器的ssh进行配置,例如免密登录
刚刚接触redis不久,对redis也只是做了一些简单的配置,所以,在刚刚使用的时候,也仅仅是将redis的环境搭建好,至于redis的端口(6379)和密码(redis默认配置没有密码)也没有做更改。
前一段时间,偶然的发现,有时候redis里面的数据莫名其妙的全部被清除掉了,刚开始总是以为是redis哪里配置的有问题,可能配置的有定时清空数据库的机制吧,但是找了一圈没有发现redis有类似的配置。随后开始研究redis.conf配置文件,首先将redis的log级别提升到最高,也就是debug的级别,
debug的打印信息如下:
[16279] 08 Dec 17:39:09.340 - DB 0: 70 keys (0 volatile) in 128 slots HT.
[16279] 08 Dec 17:39:09.340 - 0 clients connected (0 slaves), 829448 bytes in use
[16279] 08 Dec 17:39:13.047 * 10 changes in 300 seconds. Saving...
[16279] 08 Dec 17:39:13.047 * Background saving started by pid 16324
[16324] 08 Dec 17:39:13.070 * DB saved on disk
[16324] 08 Dec 17:39:13.071 * RDB: 0 MB of memory used by copy-on-write
[16279] 08 Dec 17:39:13.147 * Background saving terminated with success
[16279] 08 Dec 17:39:14.349 - DB 0: 70 keys (0 volatile) in 128 slots HT.
会将当前连接的客户端个数,你使用的数据库,当前存储的key个数,设置过期的key个数(0 volatile),快照的保存时间,状态,打印出来。当有客户端连接,会将客户端的ip打印
[16279] 08 Dec 17:40:05.187 - Accepted 123.57.41.84:44459
过了大概两天左右,又发现数据被清除了,这时在看看redis的log
[16279] 10 Dec 07:05:39.105 - DB 0: 78 keys (0 volatile) in 128 slots HT.
[16279] 10 Dec 07:05:39.105 - 0 clients connected (0 slaves), 856544 bytes in use
[16279] 10 Dec 07:05:40.468 - Accepted 221.194.44.175:34038
[16279] 10 Dec 07:05:40.508 * DB saved on disk
[16279] 10 Dec 07:05:40.530 - Client closed connection
[16279] 10 Dec 07:05:40.565 - Accepted 221.194.44.175:34041
[16279] 10 Dec 07:05:40.584 - Accepted 221.194.44.175:34042
[16279] 10 Dec 07:05:40.627 * DB saved on disk
[16279] 10 Dec 07:05:40.627 - Client closed connection
[16279] 10 Dec 07:05:40.627 - Accepted 221.194.44.175:34043
[16279] 10 Dec 07:05:40.645 - Client closed connection
[16279] 10 Dec 07:05:40.660 - Client closed connection
[16279] 10 Dec 07:05:40.681 - Accepted 221.194.44.175:34045
[16279] 10 Dec 07:05:40.705 - Client closed connection
[16279] 10 Dec 07:05:40.722 - Accepted 221.194.44.175:34047
[16279] 10 Dec 07:05:40.736 - Client closed connection
[16279] 10 Dec 07:05:44.136 - DB 0: 1 keys (0 volatile) in 4 slots HT.
[16279] 10 Dec 07:05:44.136 - 0 clients connected (0 slaves), 755920 bytes in use
很明显,在七点零五分的时候还有78个key,此时有客户端连接上来,数据悲剧了,只剩下了一个key,立马打开redis的aof文件,看看是不是此时有人执行了清空redis的操作
$8
flushall
*3
$3
set
$7
crackit
$398
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApC0OZYaozpKXFCagPTUQ0eqIXbeX+u/tSYDVrMpMXxswTxi9uZ4SKUsOKemVsGcp5YNGJ8HhB8KBoejGkTrAE7v9Sl5zwG6xMAjSj0ZBlcW80h4M0uC5Ntb95BX9bUBbUPJf70eZ5Phe2zrO9RM1Rd96HZxuFjNOw3JKMIs/Lw/qm33FIm4z1j9dnMJ5h7BYz1Fkr6hl12GvhpTZWcfgg/BzZsb0oAJGLJd5km6KPGmn0oJGMaqCbiD2ynfgQo0kpTlJExikfZe8BE0CAHAxrXNGb+cPOc1HZt7cwXQfo+Y88vG4BdfNRC1CyQTr8ZcIV7KUxSwsc/8HuUEuPVZm7Q== root@cloud
*4
$5
很明显的看到flushall的命令,就是将redis中所有的key清除,并且写了一个key为crackit的一堆有关于ssh的神马东西,ok当下百度了一下redis crackit,铺天盖地的redis被黑的新闻,好吧,终于知道原因了,由于没有设置密码,还有使用了默认的redis端口,黑客通过扫描redis的端口,不是用密码也可以连接到你的redis库中,既然连接了上来肯定是要来搞一些事情,把你的redis清空并不是目的,看到存入的那一段ssh的东西了吗,这个才是关键。利用redis将服务器的ssh公钥替换,也就是说如果你使用的root用户启动的redis,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。
经过试验,确实可以使用ssh免密登录到目标服务器中(具体的步骤可以百度一下redis crackit),
目前大多数人的解决方案:
1,以非 root 权限启动 Redis
2,增加 Redis 密码验证
3,禁止公网开放 Redis 端口, 例如可以在青云防火墙上禁用 6379 Redis 的端口
4,检查 authorized_keys 是否非法
也可以根据情况对服务器的ssh进行配置,例如免密登录