文章出自:http://news.wooyun.org/6e6c384f2f613661377257644b346c6f75446f4c77413d3d

符合预警中“Redis服务配置不当”条件的服务器,均有被攻击者控制的风险。

11月4日,国外安全研究人员@antirez 公布Redis服务一例高危安全风险。其发现,Redis服务如果配置不当,结合SSH服务,可以直接获取服务器的ROOT权限。

服务器配置不当包括三部分:

  1. Redis服务使用ROOT账户启动;

  2. Redis服务无密码认证或者弱密码认证;

  3. 服务器开放SSH服务,允许密钥登录

符合以上条件的服务器,均有被攻击者控制的风险。乌云上已有白帽发现部分网站存在相关问题并提交了漏洞报告。并且安全扫描服务Tangscan监测到,有攻击者开始利用该漏洞攻击国内的服务器。

Redis是一款开源NOSQL数据库,常用于提升数据读写速度,加快网站访问速度。根据DB-Engines.com数据显示,它是全球最受欢迎的NOSQL数据库,被用在海量的互联网产品上。

乌云建议,有采用Redis的网站,应尽快检查是否存在配置不当问题。如发现存在问题,可按下述建议修复:

  1. 禁止使用 root 帐号启动 redis 服务;

  2. 对 redis 访问启用密码认证,并且添加 IP 访问限制;

  3. 尽可能不对公网直接开放 SSH 服务。

update:预警发布后,有企业内的白帽告知乌云,已发现有攻击者在网络上大规模扫描并进行利用的迹象。再次强调,使用Redis的网站请尽快展开自查,确认风险。

转载于:https://www.cnblogs.com/ghw0501/p/4968564.html

Redis配置不当可导致服务器被控制,已有多个网站受到影响 #通用程序安全预警#...相关推荐

  1. Redis配置不当致使root被提权漏洞

    Redis配置不当致使root被提权漏洞 Dear all~ 最近Redis服务被曝出因配置不当,可能造成数据库被恶意清空,或被黑客利用写入后门文件造成进一步入侵,请关注! 一.漏洞发布日期 2015 ...

  2. 9月29 Redis配置不当致使root被提权漏洞 | Found a swap file by the name swp

    1.Redis配置不当致使root被提权漏洞 建议修复方案(需要重启redis才能生效) 1.绑定需要访问数据库的IP 修改 redis.conf 中的 "bind 127.0.0.1&qu ...

  3. 记一次CentOS7因Redis配置不当导致被Root提权沦为矿机修复过程

    未曾想过,那些年影视剧中黑客们的精彩桥段,竟在2020这个充满魔幻的年份,变成了现实. 前几日傍晚突然收到了来自阿里云安全中心的提醒,服务器疑似受到攻击了.想不到我那用作学习的机器,有朝一日竟然沦为矿 ...

  4. Redis 配置不当致使 root 被提权漏洞

    漏洞描述 Redis 服务因配置不当,可被攻击者恶意利用.黑客借助 Redis 内置命令,可将现有数据恶意清空:如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登 ...

  5. 技术分享|由于Nginx配置不当而导致内网资产暴漏

    前言 当前有部分企业通常会在外网部署一些Nginx服务器,然后在Nginx中配置域名绑定.用户访问对应的域名,Nginx通过反向代理将对应的内网资源反馈给互联网上的用户,这样企业可以把服务器部署在自己 ...

  6. IjkPlayer Option配置不当、导致视频卡顿或没有部分视频无声的坑;

    1.如有一下配置.将会导致类似https等地址格式的在线 视频卡顿. --删除即可 ijkMediaPlayer.setOption(IjkMediaPlayer.OPT_CATEGORY_PLAYE ...

  7. java redis使用卡死_注意!Redis使用不当可能导致应用卡死

    点击上方"Java知音",选择"置顶公众号" 技术文章第一时间送达! 作者:小木 my.oschina.net/xiaomu0082/blog/2990388 ...

  8. redis没有加密码导致服务器被当做矿机了

    就是挖矿.有个监控进程,找到监控进程,把杀毒进程和监控进程都杀掉就不会重启了. 有定时任务也需要清除,一个是crontab -e:另一个在目录/var/spool/cron/crontabs/root ...

  9. 项目配置不当引发了数据泄露,人已裂开!!(建议收藏)

    大家好,我是冰河~~ 最近,有位读者私信我说,他们公司的项目中配置的数据库密码没有加密,编译打包后的项目被人反编译了,从项目中成功获取到数据库的账号和密码,进一步登录数据库获取了相关的数据,并对数据库 ...

最新文章

  1. testng入门_单元测试
  2. 万年历java课程设计报告_java万年历课程设计报告2010
  3. 西点军校最贵一课:没强大内心的人,没资格谈人生
  4. [导入]Asp.net中动态在中加入Scrpit标签
  5. 设置最小值_WELSIM中设置有限元计算结果的最大最小值
  6. import torch报错 from torch._C import * ImportError: DLL load failed: 找不到指定的程序。解决办法
  7. 计算机二级考试题有之前的吗,国家计算机二级上机做对前两题为什么过不了
  8. android x5 webview 第一次,android:X5WebView 首次初始化 X5 内核耗时, 会产生卡顿现象的解决办法...
  9. python网络爬虫从入门到精通吕云翔_python爬虫
  10. 一个完整的软件开发过程到底需要哪些步骤?
  11. podman加速器配置,harbor镜像仓库部署
  12. LabVIEW编程LabVIEW开发 控制Keithley 2700例程与相关资料
  13. MacBook M1 Windows for ARM虚拟机体验
  14. win7怎么查看计算机用户名,Win7怎么查看自己电脑ip地址?
  15. 一个女孩写给一个男孩子的信
  16. 超百万观众同场看直播秒开不卡顿,快手是如何做到的?|首次披露
  17. 计算对数似然函数改变量
  18. 阿里巴巴公开大数据打假模式
  19. 《操作系统真象还原》第七章
  20. 新锐国货品牌拇指白小T成功上线巨益OMS全渠道电商中台

热门文章

  1. 10岁宝宝制作的三国演义题材的海报
  2. 算力不是王道,强化学习之父Rich Sutton的六点错误
  3. 量化集体行为特刊:信息论为量化集体性提供形式化框架
  4. 《自然》:欧洲根据已知基因序列合成新冠病毒,助力疫苗开发
  5. 69张图看懂Elon Musk的脑机接口芯片项目
  6. 腾讯发布95页重磅报告:全面预测中国互联网未来5年趋势
  7. 清华、中科大实现了量子版本的GAN,平均保真度98.8%
  8. 腾讯阿里是否开始走向没落,用新互联网大脑模型分析
  9. CNNIC互联网报告:中国网民超8亿 前沿科技进展显著
  10. 泡沫破裂之后,强化学习路在何方?