redis配置不當導致機器被黑

標籤：redis

近日公司安全專家對業務雲主機進行例行安全檢查發現某redis伺服器異常，現象如下：

1、系統的history和/var/log日誌目錄均被清空；

2、流量異常

3、惡意建立了一個id=0，名稱為beef-xbdb的高許可權使用者，其home目錄是/root，跟root使用者的屬性做了綁定；

4、/boot啟動目錄有名稱為gakzigdpzp的木馬檔案；

5、/boot目錄下面的木馬檔案與192.225.230.143，一個香港的IP存在SYN_SENT串連狀態的網路互動行為；

6、多個目錄存在木馬/後門檔案：

......

後來經過排查，發現是redis配置不當所致：

1、以root啟動redis服務

2、redis機器有公網地址

3、redis允許所有地址訪問（注釋了預設的bind 127.0.0.1）

4、redis不要求輸入密碼就可以訪問（注釋了預設的requirepass foobared）

於是杯具來了：

一旦6379連接埠被掃描到，然後config set dir /root/.ssh、config set dbfilename "authorized_keys"、save三個命令就可以將自己產生的公開金鑰植入目標機器，這意味著什麼已經很清楚了吧，此後駭客將獲得此機器完全許可權。

網上找了下，原來這是redis的一個典型的安全問題，而且裡面有詳細分析報告：

https://nosec.org/bobao/redis_crackit?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

即使不是用root啟動的redis，也可以通過在apache的/var/www/html下植入一個php檔案，然後在裡面寫入東西，最後在頁面上訪問獲得web shell，同樣風險極大。

本文出自 “記憶片段” 部落格，謝絕轉載！

redis配置不當導致機器被黑