记一次redis服务器被攻击的体验

前几天查看了自己的云服务器,发现被异常登录了,阿里云也发来了警告,赶紧登上去看了一下。

记一次redis服务器被攻击的体验_第1张图片

记一次redis服务器被攻击的体验_第2张图片



        查看了一下检查/root/.ssh/下有没有秘钥文件,发现果然有一个公钥文件。

          记一次redis服务器被攻击的体验_第3张图片

        先把他删除。

1)禁止使用 root 权限启动 redis 服务

2)对 redis 访问启用复杂密码认证,并且添加 IP 访问限制

3)尽可能不对公网直接开放 SSH 服务

4)并且关掉ntp服务并禁止开机自启

补充:

        转自:https://zengjunpeng.com/?id=147

漏洞原理及复现

在复现前,先介绍两个基本要了解的基础知识:

1) SSH免密码登录,Linux下可以设置SSH免密码登录,方法为使用"公私钥"认证,即首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)。然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥.在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了

2) Redis可通过Redis-CLI远程管理,设置Redis的默认路径以及数据库缓存文件。

方法如下:

config set dir /xxx

config set dbfilename xxxx

set xxxx "xxx"

save

上述两种常见的方法结合,在以下条件下:

1.Redis服务使用ROOT账号启动

2.Redis服务无密码认证或者使用的是弱口令进行认证

3.服务器开放了SSH服务,而且允许使用密钥登录,即可远程写入一个公钥,直接登录远程服务器

你可能感兴趣的:(运维)