1.由于安装低版本的redis,默认绑定在 0.0.0.0:6379,会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据 2.此时服务公网端口被扫描到,植入挖矿程序,使用top命令可以看到cpu使用率被占满,把它kill掉cpu使用率马上就下降了,但是不一会cpu使用率又上了 3.这种情况打开crontab -l 可以看到有一条被植入的定时任务或者一般也会在写在定时文件里/var/spool/cron,将其删除,如果有自己的定时任务被删除掉,可以ls /var/log/cron*,根据日志来恢复 4.此时还应检查是否有公钥写入到目标系统的/root/.ssh下,可免密码登录目标ssh,如果有需要及时删除 5.建议:如果不需要外网访问,则修改设置 0.0.0.0:6379。只是本机访问则改为127.0.0.1:6379。设置redis访问密码,建议设置密码要复杂一点,因为redis允许长时间扫描。可以的话对redis的访问端口进行修改。
关于Redis未授权访问漏洞被植入挖矿程序
原创
©著作权归作者所有:来自51CTO博客作者取什么昵称的原创作品,请联系作者获取转载授权,否则将追究法律责任
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
InfluxDB API 未授权访问漏洞
InfluxDB未授权访问
InfluxDB 未授权访问 信息安全 -
Redis未授权访问漏洞分析
Redis未授权访问漏洞分析
redis Redis sed -
mongodb未授权访问漏洞
mongodb未授权访问漏洞
mongodb 数据库 vim -
Elasticsearch未授权访问漏洞
Elasticsearch服务普遍存在一个未授权访问的问题,攻击者通常可以请求一个开放9200或9300的服务器进
elasticsearch Elastic 数据 -
漏洞检测与防御:Redis未授权访问漏洞复现
漏洞检测与防御:Redis未授权访问漏洞复现1. 未授权访问漏洞未授权访问漏洞可以理解为安全配置、权限认证、授权页面存在缺陷,导
网络安全 python redis 渗透测试 Redis -
Redis未授权访问漏洞(一)先导篇
Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip
redis 服务器 数据库 网络安全 安全