您现在的位置是:首页 > 个人博客个人博客
Linux上Redis未授权访问漏洞
龙沐星2019-08-05【个人博客】90032人已围观
简介Redis因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。
一、漏洞描述和危害
Redis因配置不当可以未授权访问,被攻击者恶意利用。 攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
二、已确认被成功利用的软件及系统
对公网开放,且未启用认证的redis服务器。
三、建议修复方案
1、指定redis服务使用的网卡 (需要重启redis才能生效)
在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问Redis。
2、设置访问密码 (需要重启redis才能生效)
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码,Redis客户端也需要使用此密码来访问Redis服务。
3、修改并禁用redis默认端口 (需要重启redis才能生效)
在 redis.conf 中找到“port”字段,把后面的6379端口修改成自定义端口(如:8888),修改完成之后,别忘了修改iptables(防火墙) 里的配置规则,完成之后,重启redis或者服务器;php或Java就使用自定义端口连接redis
4、修改Redis服务运行账号
请以较低权限账号运行Redis服务,且禁用该账号的登录权限。可以限制攻击者往磁盘写入文件,但是Redis数据还是能被黑客访问到,或者被黑客恶意删除。
5、设置防火墙策略
如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。
Redis因配置不当可以未授权访问,被攻击者恶意利用。 攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
二、已确认被成功利用的软件及系统
对公网开放,且未启用认证的redis服务器。
三、建议修复方案
1、指定redis服务使用的网卡 (需要重启redis才能生效)
在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问Redis。
2、设置访问密码 (需要重启redis才能生效)
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码,Redis客户端也需要使用此密码来访问Redis服务。
3、修改并禁用redis默认端口 (需要重启redis才能生效)
在 redis.conf 中找到“port”字段,把后面的6379端口修改成自定义端口(如:8888),修改完成之后,别忘了修改iptables(防火墙) 里的配置规则,完成之后,重启redis或者服务器;php或Java就使用自定义端口连接redis
4、修改Redis服务运行账号
请以较低权限账号运行Redis服务,且禁用该账号的登录权限。可以限制攻击者往磁盘写入文件,但是Redis数据还是能被黑客访问到,或者被黑客恶意删除。
5、设置防火墙策略
如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。
很赞哦! (90032)
相关文章
文章评论
- 评论已关闭
点击排行
Linux独立主机修改ROOT密码方法
站长推荐
为什么说10月24日是程序员的节日?
猜你喜欢
站点信息
- 建站时间:2015-07-29
- 网站程序:YII 2.0
- 文章统计:24条
- 文章评论:90032条
- 统计数据:百度统计
- 微信公众号:扫描二维码,关注我们
