发现 redis 被入侵了

2021-05-06 17:48:51 +08:00
 qping

今天突然系统不能用了,内网环境,redis 没有设置密码。

查看 redis 日志:READONLY You can't write against a read only 。

奇怪的是只是跑了一个 redis 用来做缓存,并没有设置集群,进入 redis-cli 中发现,多了一个 key=backdoor,基本确认被入侵了。

https://i.imgur.com/VoR3GOq.png

还好影响不大,加了个密码重启了,分享一下。

3194 次点击
所在节点    Redis
8 条回复
opengps
2021-05-06 17:54:12 +08:00
“内网环境”+“被入侵” ,只是重启恢复了这么简单吗?不排查一下哪里的来源?图里那个内网 ip 和 port 是什么服务?
ToPoGE
2021-05-06 17:56:01 +08:00
如果不是自己人搞的,在内网被入侵,那问题肯定不是出在 redis 上,感觉看看程序,获取其他服务器配置吧
misaka19000
2021-05-06 18:12:03 +08:00
看连接日志
gBurnX
2021-05-06 18:19:02 +08:00
人心妥测。就算内网的小伙伴,并不是想偷数据,也很难避免哪个小伙伴手欠,为了方便,直连数据库了。

加密码,加权限,只对特定 IP 开放,做好登陆记录等等。
newmlp
2021-05-06 19:22:16 +08:00
这个入侵我也会,清空缓存,添加一条缓存内容是一条定时任务的 shell,然后保存缓存到定时任务配置目录,这样这条 shell 就会被执行,如果是以 root 身份运行的 redis 基本想干嘛就干嘛
Greatshu
2021-05-06 19:36:50 +08:00
有人在自己电脑上搞内网穿透被入侵了吧
https://baijiahao.baidu.com/s?id=1683683609625816728&wfr=spider&for=pc
qping
2021-05-07 09:26:36 +08:00
@newmlp #5 还好因为是在 docker 里面的,所以没有 root 权限
qping
2021-05-07 09:28:43 +08:00
@opengps #1 这台服务器是在人家那里的,我们只是复制安装些软件,通报给相关负责人了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/775238

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX