【漏洞概述】
默认情况下,Redis绑定到0.0.0.0:6379,并且Redis服务将发布到公共网络。
如果未启用身份验证,并且任何用户都可以访问目标服务器,则可以对Redis服务进行非法访问,并且可以进行恶意操作,如添加或删除数据以及获取服务器权限。
【风险等级】
风险很高
【漏洞风险】
主机远程操作,泄露敏感业务数据;
【漏洞利用条件】
1.Redis服务在根帐户上运行;
2 .没有用于2. Redis认证的密码或弱密码
3. Redis在0.0.0.0公众网上拦截;
【加固建议】
1 .禁止1.Redis服务向公众网开放。 可以通过修改redis.conf配置文件中的“#bind 127.0.0.1”来移除以前的“#”。 (Redis原本作为内存数据库使用,由本机监听即可。 )
通过修改Redis.conf配置文件中的" requirepass "设置密码访问认证() (需要重新启动redis服务才能启用);
3 .访问控制访问源IP,使其能够通过限制防火墙指定的源IP来连接到Redis服务器;
更改Redis默认端口并将默认6379端口更改为另一个端口;
5 .禁用config命令以避免恶意操作,并在Redis配置文件redis.conf中放置rename-command条目“RENAME_CONFIG”,以便即使存在未经授权的访问也向攻击者配置config
6. Redis使用一般用户权限,禁止使用root权限启动Redis服务。 这样可以确保即使存在漏洞,攻击者也只能获取普通用户权限,而不能获取根权限
【清理木马】
如果云主机已经使用,并且已经上传了木马,请参阅木马清理方案。
1 .切断服务器通信。
(例如,iptables-a input-sxmr.crypto-pool.fr-jdropandiptables-a output-dxmr.crypto-pool.fr-j drop )
2 .完成计时器任务。
例如,systemctl stop crond或crontabe会删除未知的计划任务。)
3 .删除木马和未知公钥文件。
例如,/tmp/Circle_MI.png、/opt/minerd、/root/.mcfg、/root/.daemond、/tmp/kworker34、/root/.httpd
4 .结束木马进程。
例如pkill minerd、pkill/root/.mcfg、pkill /tmp/kworker34、pkill /root/.daemond、pkill /tmp/kworker34、pkill
5 .停止恶意服务
(检查是否存在lady - service ladystop等恶意服务)