最近Redis服务被曝出因配置不当,可能造成数据库被恶意清空,或被黑客利用写入后门文件造成进一步入侵,在此也提醒使用Redis服务的用户尽快修复。Redis是目前众多NoSQL产品中非常高效的一款,被广泛应用于各大互联网企业。
一、漏洞发布日期
2015年11月10日
二、已确认被成功利用的软件及系统
对公网开放,且未启用认证的redis服务器。
三、漏洞描述
最近Redis服务被曝出因配置不当,被攻击者进行恶意利用。
黑客借助redis内置命令,可以对现有数据进行恶意清空。
如果Redis以root身份运行,黑客可往服务器上写入SSH公钥文件,直接登录服务器。
四、建议修复方案(需要重启redis才能生效)
1、指定redis服务使用的网卡
在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问redis。
2、设置访问密码
在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码。
3、修改redis服务运行账号
请以较低权限账号运行redis服务,且禁用该账号的登录权限。
原文:http://my.oschina.net/safedog/blog/529525