Redis
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。
默认端口:6379
安全问题
-
Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。
-
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。
-
如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
-
服务器开着web服务,在redis有web目录写权限时,可以写入webshell。
-
在redis以root权限运行时,可以执行计划任务反弹shell。
搭建 Redis
CentOS安装redis:
wget http://download.redis.io/releases/redis-3.2.0.tar.gz
tar xzf redis-3.2.0.tar.gz
cd redis-3.2.0
make