Redis未授权访问漏洞
来源:互联网 发布:预算大师软件 编辑:程序博客网 时间:2024/04/28 19:03
一、漏洞描述和危害
Redis因配置不当可以未授权访问,被攻击者恶意利用。
攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。
如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
二、已确认被成功利用的软件及系统
对公网开放,且未启用认证的redis服务器。
三、建议修复方案
1、指定redis服务使用的网卡 (需要重启redis才能生效)
在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问Redis。
2、设置访问密码 (需要重启redis才能生效)
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码,Redis客户端也需要使用此密码来访问Redis服务。
3、修改Redis服务运行账号 (需要重启redis才能生效)
请以较低权限账号运行Redis服务,且禁用该账号的登录权限。另外可以限制攻击者往敏感写入文件,但是Redis数据还是能被黑客访问到,或者被黑客恶意删除。
4、设置防火墙策略
如果正常业务中Redis服务需要被其他服务器来访问,可以设置iptables策略仅允许指定的IP来访问Redis服务。
0 0
- Redis 未授权访问漏洞
- Redis未授权访问漏洞
- Redis未授权访问漏洞
- redis未授权访问漏洞
- Redis 未授权访问漏洞
- 验证docker的Redis镜像也存在未授权访问漏洞
- Redis 未授权访问漏洞讲解利用加批量寻找
- 不请自来 | Redis 未授权访问漏洞深度利用
- Redis未授权访问漏洞客户修复通知
- Redis 未授权访问缺陷
- MongoDB数据库未授权访问漏洞
- Memcached 未授权访问漏洞及加固
- Docker Remote Api未授权访问漏洞
- 记录一次被攻击勒索(redis“未授权访问”漏洞)
- Redis未授权访问事故记录
- redis未授权访问导致远程登陆服务器
- 服务器由于redis未授权漏洞被攻击
- 提权的魅力——redis未授权漏洞
- Redis 哈希(Hash)
- kafka源码之日志管理-LogManager
- ROS by example -第十章 机器人视觉
- scala 泛型之初解,定界,类型约束,逆变与协变
- 定位磁盘I/O过高的方法
- Redis未授权访问漏洞
- java.lang.SecurityException: Invalid signature file digest for Manifest main attributes
- Redis 列表(List)
- Android RadioGroup和RadioButton
- ABAP 7.4新特性(四):内表访问表达式
- ffmpeg链接收藏
- Pyramid of Glasses
- 如何将下载的谷歌卫星地图导出成多张等份大图
- Plus One