[安全公告] Redis Crackit 入侵事件通告

ququzone

2015-11-11 16:07:49 +08:00

昨天公司服务器中招了，数据全被清了，还好不是正式数据。虽然它给我的 redis 里面放了 crackit 的 key ，不过我们服务器是禁止 root 用户 ssh 登录的，所以没有造成其他影响。大家在服务器里面设置一定要加 **禁止 root 远程登录 **

shiny

2015-11-11 16:09:45 +08:00

想起前几天一个帖子 /t/234520

master

2015-11-11 16:27:31 +08:00

禁止 root 远程登录固然重要
但是为什么要让 redis 使用 root 账号启动

wawehi

2015-11-11 16:33:18 +08:00

开放 redis 公网访问
以 ROOT 启动
这两大错误绝不能犯呀

est

2015-11-11 16:39:30 +08:00

@master 出问题的公司，一般没运维团队。 redis 多半是码农自己编译的。跑起来就谢天谢地了。

Showfom

2015-11-11 16:41:42 +08:00

已经做好安全措施了。

raysmond

2015-11-11 16:44:44 +08:00

禁止了 redis 公网访问，只能 localhost 访问，为什么还不能用 root 账号启动？

raysmond

2015-11-11 16:45:10 +08:00

@wawehi 禁止了 redis 公网访问，只能 localhost 访问，为什么还不能用 root 账号启动？

typcn

2015-11-11 16:46:41 +08:00

这是何样的安全头脑。。。。

允许公网访问＋不设访问密码＋以 Root 权限启动公网可访问没密码的程序

lukew

2015-11-11 16:50:57 +08:00

@est 对的。。

aofall

2015-11-11 16:53:19 +08:00

@master 自编译的就是以 root 启动的

youxiachai

2015-11-11 16:54:02 +08:00

这个算是 redis 漏洞????????????

redis 的文档我记得,明显写了不要用 root 启动,也不要暴露外网....

kn007

2015-11-11 17:15:05 +08:00

自用的 VPS ，
1.一直以非 root 权限启动 Redis
2.从未开放公网 Redis 端口

est

2015-11-11 17:16:51 +08:00

@raysmond 这个思路，出问题是迟早的。

安全的攻防对抗，防守是只要漏一点，全盘皆输。攻击是只要突破一点，全盘皆赢。安全问题不是你只跑 localhost 就能高枕无忧的事。

Defenders think in lists. Attackers think in graphs.

iugo

2015-11-11 17:25:22 +08:00

@est 看来开发者学一些运维常识是必要的.

xshell

2015-11-11 17:28:22 +08:00

没做安全设置啊··~~

facert

2015-11-11 17:39:21 +08:00

1. 增加 Redis 密码验证基本能被暴力破解，因为 redis 太快了，每秒钟 12k 的速度。。。
2. 禁止 root 用户登录，也可以猜测用户名，风险还是有的。
3. 可以修改 redis 的默认端口 6379 ，配置 rename-command CONFIG "RENAME_CONFIG", 这样即使存在未授权访问, 也能够给攻击者使用 config 指令加大难度
4. 如果 redis 只在本机需要访问，还是设置 bind 127.0.0.1 吧

iyangyuan

2015-11-11 17:51:24 +08:00

端口都不改，被黑怪谁

raysmond

2015-11-11 17:51:41 +08:00

@est 我就想知道怎么做到的

Cloudee

2015-11-11 17:58:13 +08:00

@raysmond 我感觉就算 bind 127.0.0.1 ，也有本地提权的风险，比如本地的某个 nobody 用户上跑的危险比较大的程序被黑了，通过 127.0.0.1 连上 redis 相当于可以以 root 身份任意写文件了

[安全公告] Redis Crackit 入侵事件通告

容易遭受入侵的环境

入侵现象

修复办法