Redis 未授权访问漏洞
公司的服务器被扫出redis相关漏洞,未授权的访问漏洞!
就是应为没有设置密码,所以被扫描出漏洞,设置个密码就完事
修改配置文件
Redis的配置文件默认在/etc/redis.conf,找到如下行:
#requirepass foobared
去掉前面的注释,并修改为所需要的密码:
requirepass myPassword (其中myPassword就是要设置的密码)
重启Redis
如果Redis已经配置为service服务,可以通过以下方式重启:
service redis restart
如果Redis没有配置为service服务,可以通过以下方式重启:
关闭:redis-cli shutdown 或者 kill redis进程的pid
启动 ./src/redis-server redis.conf &
ps -ef |grep redis 查看reids相关进程
登录验证
设置Redis认证密码后,客户端登录时需要使用-a参数输入认证密码,不添加该参数虽然也可以登录成功,但是没有任何操作权限。如下:
$ ./redis-cli -h 127.0.0.1 -p 6379
127.0.0.1:6379> keys *
(error) NOAUTH Authentication required.
使用密码认证登录,并验证操作权限:
$ ./redis-cli -h 127.0.0.1 -p 6379 -a myPassword
127.0.0.1:6379> config get requirepass
1) "requirepass"
2) "myPassword"
看到类似上面的输出,说明Reids密码认证配置成功
redis 增加密码前一定要和研发的同学做好沟通,不然,你以增加完密码,他们可能就提着
转载于:https://blog.51cto.com/13654115/2300883
Redis 未授权访问漏洞相关推荐
- Redis未授权访问漏洞记录(端口:6379)
目录 Redis 扫描 未授权登录以及利用 写入SSH公钥,进行远程登录 定时任务反弹shell 写入一句话木马 其它一句话木马 写入/etc/passwd文件 利用主从复制RCE 本地Red ...
- Redis未授权访问漏洞详细版
Redis未授权访问漏洞 Redis未授权访问漏洞原理 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样 ...
- 漏洞检测与防御:Redis未授权访问漏洞复现
漏洞检测与防御:Redis未授权访问漏洞复现 1. 未授权访问漏洞 未授权访问漏洞可以理解为安全配置.权限认证.授权页面存在缺陷,导致其他用户可以直接访问,从而引发权限可被操作,数据库.网站目录等敏感 ...
- Redis未授权访问漏洞(四)SSH key免密登录
前言 系列文章 Redis未授权访问漏洞(一)先导篇 Redis未授权访问漏洞(二)Webshell提权篇 Redis未授权访问漏洞(三)Redis写入反弹连接定时任务 SSH key免密登录 实战实 ...
- Redis未授权访问漏洞的重现与利用
前言: 最近配置openvas的时候安装了redis,听说曾经曝出过一个未授权访问漏洞,便找了一下相关资料想自己动手复现一下漏洞的利用过程,当然所有的攻击性操作都是在虚拟机上完成的,本文所有的操作是在 ...
- Redis未授权访问漏洞的利用及防护
什么是Redis未授权访问漏洞? Redis在默认情况下,会绑定在0.0.0.0:6379.如果没有采取相关的安全策略,比如添加防火墙规则.避免其他非信任来源IP访问等,这样会使Redis服务完全暴露 ...
- 未授权访问漏洞-Redis未授权访问漏洞
文章目录 未授权概述 常见未授权访问漏洞 Redis未授权访问 Redis简介 应用场景 Redis 架构 漏洞发现 端口 端口探测 Redis常用命令 Redis历史漏洞 Redis未授权访问 Re ...
- 哪种修复redis未授权访问漏洞的方法是相对不安全的_关于Linux挖矿、DDOS等应急事件处置方法...
前言 从去年六月份到现在做的应急响应.事件分析大大小小的做了数百个,主要遇到的有挖矿.DDoS.短信接口盗刷.用户接口泄漏.越权信息获取.挂黑页.删数据等.本文只针对自己做的应急响应中的挖矿和DDoS ...
- Redis 未授权访问漏洞与getshell(附getshell检测工具)
0x00 Redis简介 Redis 简介. Redis 是完全开源免费的,遵守 BSD 协议,是一个灵活的高性能 key-value 数据结构存储,常见用来作为数据库,其在安全配置问题上存在一些问题 ...
- Redis未授权访问漏洞复现
Redis介绍 redis是一个key-value存储系统.和Memcached类似,它支持存储的value类型相对更多,包括string(字符串).list(链表).set(集合).zset(sor ...
最新文章
- 使用PyTorch进行情侣幸福度测试指南
- linux下安装mysql初始化报错:bin/mysqld: error while loading shared libraries: libnuma.so.1
- mysql忽略大小写配置cnetos_CentOS7下安装MYSQL8.X并设置忽略大小写
- MySQL 5.7.18的安装与主从复制(转自:https://www.baidu.com/home/news/data/newspage?nid=9485770887287731252n_typ)
- html弹窗中的layer,ModalLayer弹窗控件(原创)
- MySQL 数据库怎样把一个表的数据插入到另一个表
- 随想录(编写用户侧定时器)
- 王者荣耀女性机器人面世;深圳中院受理金立破产案;Firefox 64 发布 | 极客头条...
- mysql database table_mysqldump database table
- configure: error: gperf is needed
- 卸载McAfee for Mac
- Python办公自动化——8行代码实现文件去重
- 2022--SE-GAN骨架增强的基于gan的毛笔手写字体生成模型原理以及网络结构
- 软件工程本科生实习_我从n00b实习生到工程团队主管的方式
- 《简约至上:交互设计四策略》导读
- 正好股票杠杆大盘在这个位置只有两个重要买点
- 格美净水器:家用净水器必看的6点
- 最终幻想之父——坂口博信 (转载自天幻网(www.SquareCN.com))
- axios 之 post请求参数格式不正确得问题
- java 生成二维码后叠加LOGO并转换成base64