[安全公告] Redis Crackit 入侵事件通告

2015-11-11 14:23:55 +08:00
 arronliu

近日曝出大规模利用 Redis 漏洞进行入侵的事件,会给用户的 Redis 运行环境以及 Linux 主机造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

容易遭受入侵的环境

用户自建的运行了 Redis 服务的 Linux 主机,并在公网上开放了 6379 的 Redis 端口

入侵现象

修复办法

温馨提示:青云提供的 Redis 服务是运行在私有网络中的,并且已经考虑了安全加固措施,同时提供密钥验证的配置,不会受到该漏洞的影响,请用户放心使用。

关于入侵事件的更多详情还可以参见:https://nosec.org/bobao/redis_crackit

另外,有任何其他问题可以工单与我们联系。

QingCloud 技术团队

7289 次点击
所在节点    云计算
38 条回复
ququzone
2015-11-11 16:07:49 +08:00
昨天公司服务器中招了,数据全被清了,还好不是正式数据。虽然它给我的 redis 里面放了 crackit 的 key ,不过我们服务器是禁止 root 用户 ssh 登录的,所以没有造成其他影响。大家在服务器里面设置一定要加 **禁止 root 远程登录 **
shiny
2015-11-11 16:09:45 +08:00
想起前几天一个帖子 /t/234520
master
2015-11-11 16:27:31 +08:00
禁止 root 远程登录固然重要
但是为什么要让 redis 使用 root 账号启动
wawehi
2015-11-11 16:33:18 +08:00
开放 redis 公网访问
以 ROOT 启动
这两大错误绝不能犯呀
est
2015-11-11 16:39:30 +08:00
@master 出问题的公司,一般没运维团队。 redis 多半是码农自己编译的。跑起来就谢天谢地了。
Showfom
2015-11-11 16:41:42 +08:00
已经做好安全措施了。
raysmond
2015-11-11 16:44:44 +08:00
禁止了 redis 公网访问,只能 localhost 访问,为什么还不能用 root 账号启动?
raysmond
2015-11-11 16:45:10 +08:00
@wawehi 禁止了 redis 公网访问,只能 localhost 访问,为什么还不能用 root 账号启动?
typcn
2015-11-11 16:46:41 +08:00
这是何样的安全头脑。。。。

允许公网访问 + 不设访问密码 + 以 Root 权限启动公网可访问没密码的程序
lukew
2015-11-11 16:50:57 +08:00
@est 对的。。
aofall
2015-11-11 16:53:19 +08:00
@master 自编译的就是以 root 启动的
youxiachai
2015-11-11 16:54:02 +08:00
这个算是 redis 漏洞????????????

redis 的文档我记得,明显写了不要用 root 启动,也不要暴露外网....
kn007
2015-11-11 17:15:05 +08:00
自用的 VPS ,
1.一直以非 root 权限启动 Redis
2.从未开放公网 Redis 端口
est
2015-11-11 17:16:51 +08:00
@raysmond 这个思路,出问题是迟早的。

安全的攻防对抗,防守是只要漏一点,全盘皆输。攻击是只要突破一点,全盘皆赢。安全问题不是你只跑 localhost 就能高枕无忧的事。

Defenders think in lists. Attackers think in graphs.
iugo
2015-11-11 17:25:22 +08:00
@est 看来开发者学一些运维常识是必要的.
xshell
2015-11-11 17:28:22 +08:00
没做安全设置啊··~~
facert
2015-11-11 17:39:21 +08:00
1. 增加 Redis 密码验证基本能被暴力破解,因为 redis 太快了,每秒钟 12k 的速度。。。
2. 禁止 root 用户登录,也可以猜测用户名,风险还是有的。
3. 可以修改 redis 的默认端口 6379 ,配置 rename-command CONFIG "RENAME_CONFIG", 这样即使存在未授权访问, 也能够给攻击者使用 config 指令加大难度
4. 如果 redis 只在本机需要访问,还是设置 bind 127.0.0.1 吧
iyangyuan
2015-11-11 17:51:24 +08:00
端口都不改,被黑怪谁
raysmond
2015-11-11 17:51:41 +08:00
@est 我就想知道怎么做到的
Cloudee
2015-11-11 17:58:13 +08:00
@raysmond 我感觉就算 bind 127.0.0.1 ,也有本地提权的风险,比如本地的某个 nobody 用户上跑的危险比较大的程序被黑了,通过 127.0.0.1 连上 redis 相当于可以以 root 身份任意写文件了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/235347

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX