忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
12下一页
最近访问板块 发新帖
查看: 6115 | 回复: 19

[其他] 【大话IT】RedisCrackIT入侵引发Linux 沦陷,你的服务器还安全吗? [复制链接]

论坛徽章:
135
2015年亚洲杯之日本
日期:2015-04-28 13:32:012015年亚洲杯之朝鲜
日期:2015-05-06 10:16:442015年亚洲杯之日本
日期:2015-05-06 10:21:342015年亚洲杯纪念徽章
日期:2015-05-13 17:16:442015亚冠之北京国安
日期:2015-05-13 17:18:292015亚冠之鹿岛鹿角
日期:2015-05-13 17:19:062015亚冠之德黑兰石油
日期:2015-05-27 16:47:402015亚冠之塔什干棉农
日期:2015-05-28 15:24:122015亚冠之卡尔希纳萨夫
日期:2015-06-01 13:52:392015亚冠之柏斯波利斯
日期:2015-06-04 17:37:292015亚冠之阿尔纳斯尔
日期:2015-06-16 11:31:202015亚冠之塔什干火车头
日期:2015-06-23 10:12:33
发表于 2015-11-17 17:55 |显示全部楼层

事件描述
很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。
2015年11月10日,不知名团体利用redis世界缺陷针对全球互联网的全网性入侵,本次攻击事件已经影响至少万余家服务器被成功入侵。redis官网并未对此提供补丁,到目前为止看到的利用过程是基于redis提供的正常功能,而且这一问题早在去年九月就作为远程代码执行RCE的技术问题做了公开发布,并只得到小范围传播。

问题:
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
4 针对此事件的解决方案是什么?有什么直接有效的建议?

讨论时间:2015年11月17日——12月17日

奖励设置:
活动结束后,我们将选取1位最佳讨论奖,送ChinaUnix社区14周年圣斗士系列纪念徽章。

                                         
白银圣斗士      冥斗士       青铜圣斗士     黄金圣斗士                           

将选取3位讨论精彩的小伙伴送论坛读书徽章一枚

book1-big.gif
获得图书徽章的朋友,可在ChinaUnix社区图书库兑换技术图书一本。(如果没有合适的图书,大家可以先屯着徽章,有喜欢的图书在兑换

论坛徽章:
29
CU大牛徽章
日期:2013-05-20 10:45:13数据库技术版块每日发帖之星
日期:2015-09-07 06:20:00每日论坛发贴之星
日期:2015-09-07 06:20:00每日论坛发贴之星
日期:2015-09-07 06:20:00数据库技术版块每日发帖之星
日期:2015-12-13 06:20:0015-16赛季CBA联赛之江苏
日期:2016-03-03 11:56:13IT运维版块每日发帖之星
日期:2016-03-06 06:20:00fulanqi
日期:2016-06-17 17:54:25IT运维版块每日发帖之星
日期:2016-07-23 06:20:0015-16赛季CBA联赛之佛山
日期:2016-08-11 18:06:41JAVA
日期:2016-10-25 16:09:072017金鸡报晓
日期:2017-01-10 15:13:29
发表于 2015-11-18 09:15 |显示全部楼层
本帖最后由 jieforest 于 2015-11-18 13:04 编辑

坐个沙发,这套章不错。


1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
4 针对此事件的解决方案是什么?有什么直接有效的建议?

几个问题一起回答吧,反正说的是一件事。
Redis这个开源软件本身不具备安全机制,这是众所周知的。
把Redis服务部署在公网,本身这种做法就存在问题,明显是相关的开发团队太菜了。
Redis服务最常见的应用场景是做高速缓存或者是分布式缓存。也可以作为计数器这样的应用场景。
不管怎么样,Redis服务都是作为后端业务的一部分,应该部署在内网环境,被防火墙隔离。
LZ提到的问题根本就不算问题,讨论一群菜鸟遇到的安全问题能算什么???

评分

参与人数 1信誉积分 +5 收起 理由
action08 + 5 赞一个!

查看全部评分

论坛徽章:
34
亥猪
日期:2015-03-20 13:55:11戌狗
日期:2015-03-20 13:57:01酉鸡
日期:2015-03-20 14:03:56未羊
日期:2015-03-20 14:18:30子鼠
日期:2015-03-20 14:20:14丑牛
日期:2015-03-20 14:20:31辰龙
日期:2015-03-20 14:35:34巳蛇
日期:2015-03-20 14:35:56操作系统版块每日发帖之星
日期:2015-11-06 06:20:00操作系统版块每日发帖之星
日期:2015-11-08 06:20:00操作系统版块每日发帖之星
日期:2015-11-19 06:20:00黄金圣斗士
日期:2015-11-24 10:43:13
发表于 2015-11-18 09:21 |显示全部楼层
redis 不知道还是不是当年了解过的那个。。。

论坛徽章:
11
2015年辞旧岁徽章
日期:2015-03-03 16:54:152016科比退役纪念章
日期:2016-11-07 08:28:12luobin
日期:2016-06-17 17:46:36wusuopu
日期:2016-06-17 17:43:4515-16赛季CBA联赛之福建
日期:2016-01-14 12:49:22程序设计版块每日发帖之星
日期:2015-12-13 06:20:00程序设计版块每日发帖之星
日期:2015-06-08 22:20:00程序设计版块每日发帖之星
日期:2015-06-08 22:20:002015年亚洲杯之科威特
日期:2015-03-24 14:21:272015年迎新春徽章
日期:2015-03-04 09:57:0915-16赛季CBA联赛之同曦
日期:2017-03-17 19:13:16
发表于 2015-11-18 09:24 |显示全部楼层
redis他爹也比较搞,说redis得部署在防火墙后边,然后就不用考虑安全机制了,,擦,

论坛徽章:
14
午马
日期:2015-01-19 14:08:552017金鸡报晓
日期:2017-01-10 15:13:29黑曼巴
日期:2016-11-07 11:24:56PHP
日期:2016-10-25 16:06:46技术图书徽章
日期:2016-07-19 13:54:03黄金圣斗士
日期:2015-11-24 10:43:13IT运维版块每日发帖之星
日期:2015-09-25 06:20:00IT运维版块每日发帖之星
日期:2015-09-14 06:20:002015亚冠之阿尔纳斯尔
日期:2015-07-27 11:17:582015亚冠之广州恒大
日期:2015-07-24 15:04:162015年亚洲杯之乌兹别克斯坦
日期:2015-04-01 13:28:012015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2015-11-18 09:37 |显示全部楼层
这套徽章瞅着不错

论坛徽章:
14
午马
日期:2015-01-19 14:08:552017金鸡报晓
日期:2017-01-10 15:13:29黑曼巴
日期:2016-11-07 11:24:56PHP
日期:2016-10-25 16:06:46技术图书徽章
日期:2016-07-19 13:54:03黄金圣斗士
日期:2015-11-24 10:43:13IT运维版块每日发帖之星
日期:2015-09-25 06:20:00IT运维版块每日发帖之星
日期:2015-09-14 06:20:002015亚冠之阿尔纳斯尔
日期:2015-07-27 11:17:582015亚冠之广州恒大
日期:2015-07-24 15:04:162015年亚洲杯之乌兹别克斯坦
日期:2015-04-01 13:28:012015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2015-11-18 09:37 |显示全部楼层
这套徽章瞅着不错

论坛徽章:
12
CU大牛徽章
日期:2013-04-17 11:20:3615-16赛季CBA联赛之福建
日期:2017-03-13 11:33:442017金鸡报晓
日期:2017-02-08 10:39:422017金鸡报晓
日期:2017-01-10 15:13:29IT运维版块每日发帖之星
日期:2016-03-15 06:20:01IT运维版块每日发帖之星
日期:2015-10-02 06:20:00CU十二周年纪念徽章
日期:2013-10-24 15:41:34CU大牛徽章
日期:2013-09-18 15:15:45CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-04-17 11:46:39CU大牛徽章
日期:2013-04-17 11:46:2815-16赛季CBA联赛之吉林
日期:2017-05-25 16:45:47
发表于 2015-11-18 09:38 |显示全部楼层
本帖最后由 xdsnet 于 2015-11-18 09:42 编辑

1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
这个其实还是应用者整体的安全意识不够好,特别一些用户作为专业的管理者,其实没有真正的安全意识,所有应用都以root来跑,一个被攻破了,然后就整体沦陷。其实Redis是否有授权访问并非这个事件的真正原因,因为一般设计中Redis属于内部访问。整体安全意识好,这样的应用有很多方案进行隔离,让数据只能在有限的域/ip范围内访问(进入这些的应用必须是经过一定认证和签权的)这也是可行的啊!所以这样的事件其实更多的是因为内外系统分隔隔离不到位造成的。

2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
其实还是和前面回答的一样。安全性并非仅仅靠单个组件的原因,还要看整个系统的搭建,是一个整体性的策略应用,需要区分内部应用安全和外部访问安全,并进行隔离。一般来说,外部访问安全需要很多技术措施进行保障,内部访问安全更多的体现在一些规则制度的严格遵守上。因为内部安全仅仅靠技术手段是无法根本性防止了(就好比有权限的用户铁心要搞破坏,你仅仅从技术手段上防止的可能已经很小),所以很多时候,对于内外访问隔离很好的,内部签权的要求是很低的。而且很多事是有冲突的,比如签权和性能要求在很多情况下都是有冲突的,为了一个本来该在其他方面进行隔离防治的安全问题来增加Redis的安全处理成本,进而降低其核心业务数据访问的性能可能是不被Redis开发者接受的。

3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
其实前面已经提到了Redis作者放弃解决未经授权访问导致的不安全性的原因,我觉得这样的考虑是合乎逻辑的选择,即安全的问题可以有其他好的安全策略应用通过内外隔离来解决,我提供的应用是内部应用,可以不涉及安全考虑,而专心做好数据访问性能。我个人是支持这样的选择的。

4 针对此事件的解决方案是什么?有什么直接有效的建议?
好的解决方案是:
调整/制定 好的安全策略, 做好系统的重新规划,分析好那些是内部访问领域,那些是外部访问领域,做好安全隔离,在外部访问领域做好/做强 安全处理
直接有效的建议就是把Redis部署在内网中(采用有限权限特定用户),限定内网访问,进行物理/应用 隔离,防止外部非法访问 ,同时对内部人应用制定安全规程(提供安全访问的标准程序/方法/路径...,进行内外隔离应用的示范)

论坛徽章:
12
CU大牛徽章
日期:2013-04-17 11:20:3615-16赛季CBA联赛之福建
日期:2017-03-13 11:33:442017金鸡报晓
日期:2017-02-08 10:39:422017金鸡报晓
日期:2017-01-10 15:13:29IT运维版块每日发帖之星
日期:2016-03-15 06:20:01IT运维版块每日发帖之星
日期:2015-10-02 06:20:00CU十二周年纪念徽章
日期:2013-10-24 15:41:34CU大牛徽章
日期:2013-09-18 15:15:45CU大牛徽章
日期:2013-09-18 15:15:15CU大牛徽章
日期:2013-04-17 11:46:39CU大牛徽章
日期:2013-04-17 11:46:2815-16赛季CBA联赛之吉林
日期:2017-05-25 16:45:47
发表于 2015-11-18 09:39 |显示全部楼层
本帖最后由 xdsnet 于 2015-11-18 09:44 编辑

网络慢,居然发重了,这个纯灌水啦

论坛徽章:
13
数据库技术版块每日发帖之星
日期:2015-08-06 06:20:002017金鸡报晓
日期:2017-02-08 10:39:422017金鸡报晓
日期:2017-01-10 15:13:29极客徽章
日期:2016-12-07 14:08:02JAVA
日期:2016-10-25 16:01:09luobin
日期:2016-06-17 17:46:362016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之天津
日期:2015-12-16 22:35:03黄金圣斗士
日期:2015-11-24 10:43:13IT运维版块每日发帖之星
日期:2015-10-09 06:20:002015亚冠之广州恒大
日期:2015-09-21 21:40:222015七夕节徽章
日期:2015-08-21 11:06:17
发表于 2015-11-18 09:47 |显示全部楼层
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?

   未做安全控制,主要还是针对公网开放了。

   部署redis集群时,对公网开放运维/开发省事

2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?

   作者不认为是问题,估计他嚼的他只需把核心功能做好,这类问题交给使用者处理

3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?

   对于作者来说,目前回复是:这是正常功能。
   其实对于Redis本身的功能来说,只要来访问就做出相应也确实是redis的功能,从这方面来说是无可厚非的。

   如果说作者不想加入这个功能,这就意味着这安全是由使用者来考虑的,作者只考虑核心功能即可。


4 针对此事件的解决方案是什么?有什么直接有效的建议?

> 不使用root启用redis服务,或者用低权限的用户启用
> 修改redis.conf配置文件
   增加
      rename-command FLUSHALL ""
      rename-command FLUSHDB ""
      rename-command CONFIG ""
      rename-command EVAL ""
   将这几个危险命令废掉

   增加
       requirepass   密码

   有主备的,在备机也要配置

       masterauth    密码

   增加访问控制

        bind   多个IP地址(仅限指定IP可以访问),这个也应该可以通过linux防火墙控制

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-11-18 14:26 |显示全部楼层
这一个不应该算是程序的漏洞,属于管理的漏洞,就相当于家里的门天天不锁,或者是天天车门都不关。

评分

参与人数 1可用积分 +6 收起 理由
王楠w_n + 6 赞一个!

查看全部评分

您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP