歡迎大家前往騰訊雲+社群,獲取更多騰訊海量技術實踐乾貨哦~
本文由騰訊雲資料庫 TencentDB發表於雲+社群專欄
9月10日下午,又一起規模化利用Redis未授權訪問漏洞攻擊資料庫的事件發生,此次黑客以勒索錢財作為目的,猖狂至極,甚至直接刪除資料庫資料。由於騰訊雲早在17年就發現過Redis這個漏洞,有個預案,所以這一次更是第一時間啟動全網通知提醒,周知騰訊雲使用者進行防範,同時給出防範和應對措施。
【漏洞概述】
Redis 預設情況下,會繫結在 0.0.0.0:6379,導致Redis服務暴露到公網上。
如果在沒有開啟認證並且在任意使用者可以訪問目標伺服器的情況下,可以未授權訪問Redis服務,進一步可進行資料增刪改查,甚至獲取伺服器許可權等惡意操作,屬於高風險漏洞
【漏洞利用條件】
1. Redis服務以root賬戶執行;
2. Redis無密碼或弱密碼進行認證;
3. Redis監聽在0.0.0.0公網上;
【防範建議】
1. 禁止Redis服務對公網開放,可通過修改redis.conf配置檔案中的”#bind 127.0.0.1″ ,去掉前面的”#”即可(Redis本來就是作為記憶體資料庫,只要監聽在本機即可);
2. 設定密碼訪問認證,可通過修改redis.conf配置檔案中的”requirepass” 設定複雜密碼 (需要重啟Redis服務才能生效); 3. 對訪問源IP進行訪問控制,可在防火牆限定指定源ip才可以連線Redis伺服器;
4. 修改Redis預設埠,將預設的6379埠修改為其他埠;
5. 禁用config指令避免惡意操作,在Redis配置檔案redis.conf中配置rename-command項”RENAME_CONFIG”,這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度;
6. Redis使用普通使用者許可權,禁止使用 root 許可權啟動Redis 服務,這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通使用者許可權,無法獲取root許可權;
7. 採用騰訊雲Redis資料庫產品,**騰訊雲Redis資料庫預設已進行以上加固,並且會由相關團隊進行維護,不受該漏洞影響,詳細資訊可以點選此處瞭解。
【清理木馬】
如果您的主機已經被利用並上傳了木馬,參考木馬清理方案如下:
1. 阻斷伺服器通訊。
(如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP)
2. 清除定時器任務。
(如systemctl stop crond 或者crontab –e 刪除未知的計劃任務)
3. 刪除木馬和未知公鑰檔案。
(如 /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權;chmod –x 惡意程式)
4. 終止木馬程式。
(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)
5. 終止惡意service
(檢視是否有惡意的服務,如lady – service ladystop)
問答
redis有備份嗎?
相關閱讀
Redis勒索事件爆發,如何避免從刪庫到跑路?
騰訊雲資料庫MySQL遊戲行業資料安全實踐分享
CynosDB for PostgreSQL 架構淺析
【每日課程推薦】機器學習實戰!快速入門線上廣告業務及CTR相應知識
此文已由作者授權騰訊雲+社群釋出,更多原文請點選
搜尋關注公眾號「雲加社群」,第一時間獲取技術乾貨,關注後回覆1024 送你一份技術課程大禮包!
海量技術實踐經驗,盡在雲加社群!