關於Redis未授權訪問漏洞修復

【漏洞概述】

redis 預設情況下，會繫結在 0.0.0.0:6379，導致redis服務暴露到公網上。

如果在沒有開啟認證並且在任意使用者可以訪問目標伺服器的情況下，從而可以未授權訪問redis服務，進一步可進行資料增刪改查，甚至獲取伺服器許可權等惡意操作。

【風險等級】

高風險

【漏洞風險】

主機被遠端控制，洩漏敏感業務資料；

【漏洞利用條件】1

. redis服務以root賬戶執行；

2. redis無密碼或弱密碼進行認證；

3. redis監聽在0.0.0.0公網上；

【加固建議】

1. 禁止redis服務對公網開放，可通過修改redis.conf配置檔案中的"#bind 127.0.0.1" ，去掉前面的"#"即可（redis本來就是作為記憶體資料庫，只要監聽在本機即可）；

2. 設定密碼訪問認證，可通過修改redis.conf配置檔案中的"requirepass" 設定複雜密碼（需要重啟redis服務才能生效）；

3. 對訪問源ip進行訪問控制，可在防火牆限定指定源ip才可以連線redis伺服器；

4. 修改redis預設埠，將預設的6379埠修改為其他埠；

5. 禁用config指令避免惡意操作，在redis配置檔案redis.conf中配置rename-command項"rename_config"，這樣即使存在未授權訪問，也能夠給攻擊者使用config 指令加大難度；

6. redis使用普通使用者許可權，禁止使用 root 許可權啟動redis 服務，這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通使用者許可權，無法獲取root許可權；

【清理木馬】1

. 阻斷伺服器通訊。

(如iptables -a input -sxmr.crypto-pool.fr -j drop and iptables -a output -d xmr.crypto-pool.fr -jdrop)2.

清除定時器任務。

(如systemctl stop crond 或者crontab –e 刪除未知的計畫任務)3.

刪除木馬和未知公鑰檔案。

(如 /tmp/circle_mi.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權；chmod –x 惡意程式)4.

終止木馬程序。

(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)5.

終止惡意service

(檢視是否有惡意的服務，如lady - service ladystop)