免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: 王楠w_n

[其他] 【大话IT】RedisCrackIT入侵引发Linux 沦陷,你的服务器还安全吗? [复制链接]

论坛徽章:
22
CU大牛徽章
日期:2013-09-18 15:22:06白羊座
日期:2014-04-14 22:56:32午马
日期:2014-05-16 17:18:08巳蛇
日期:2014-05-30 20:53:19寅虎
日期:2014-06-03 10:53:34未羊
日期:2014-08-12 22:15:31神斗士
日期:2015-11-20 17:26:2515-16赛季CBA联赛之浙江
日期:2016-03-15 18:27:4215-16赛季CBA联赛之同曦
日期:2016-03-22 09:21:0115-16赛季CBA联赛之北控
日期:2017-03-26 21:47:12技术图书徽章
日期:2014-04-03 16:47:26摩羯座
日期:2014-03-25 23:51:36
发表于 2015-11-18 16:41 |显示全部楼层
部署时明显考虑是无密码登录,还放在公网,死挂了..
一般考虑加了密码之后开发会觉得折腾,也是为了不折腾,一般通过
1)跑在docker里面,你怎么搞都不会拿到主机的权限..当然这种也是不应该,有人访问也不好
2)iptables,只允许某些主机的端口连过来,这招可以把网络的扫描都挡住..基本可以满足需求.

论坛徽章:
380
CU十二周年纪念徽章
日期:2014-01-04 22:46:58CU大牛徽章
日期:2013-03-13 15:32:35CU大牛徽章
日期:2013-03-13 15:38:15CU大牛徽章
日期:2013-03-13 15:38:52CU大牛徽章
日期:2013-03-14 14:08:55CU大牛徽章
日期:2013-04-17 11:17:19CU大牛徽章
日期:2013-04-17 11:17:32CU大牛徽章
日期:2013-04-17 11:17:37CU大牛徽章
日期:2013-04-17 11:17:42CU大牛徽章
日期:2013-04-17 11:17:47CU大牛徽章
日期:2013-04-17 11:17:52CU大牛徽章
日期:2013-04-17 11:17:56
发表于 2015-11-18 18:44 |显示全部楼层
没用过redis,友情支持下活动。
看网友的讨论,将一个缓存的系统直接暴露在公网,这个不应该出现的问题竟然能出现,系统维护人员有不可推卸的责任。

论坛徽章:
6
CU大牛徽章
日期:2013-05-20 10:43:41IT运维版块每日发帖之星
日期:2016-07-29 06:20:00IT运维版块每日发帖之星
日期:2016-01-27 06:20:00CU大牛徽章
日期:2013-05-20 10:44:16CU大牛徽章
日期:2013-05-20 10:44:0615-16赛季CBA联赛之广东
日期:2018-03-09 11:17:08
发表于 2015-11-23 11:10 |显示全部楼层
这个漏洞,我有个大学同学碰到过,在朋友圈里大肆骂了番。他说他们的100多台服务器都受到了漏洞的影响。
我当时就问了他一句,你们数据库/缓存服务器都扔公网的吗?
然后就没然后了。。。

论坛徽章:
39
技术图书徽章
日期:2018-08-21 13:30:492015亚冠之首尔
日期:2015-11-04 22:25:43IT运维版块每日发帖之星
日期:2015-08-17 06:20:00寅虎
日期:2014-06-04 16:25:27狮子座
日期:2014-05-12 11:00:00辰龙
日期:2013-12-20 17:07:19射手座
日期:2013-10-24 21:01:23CU十二周年纪念徽章
日期:2013-10-24 15:41:34数据库技术版块每日发帖之星
日期:2015-12-01 06:20:00平安夜徽章
日期:2015-12-26 00:06:30技术图书徽章
日期:2018-08-21 13:30:242016科比退役纪念章
日期:2018-03-07 11:23:33
发表于 2015-11-23 16:39 |显示全部楼层
redis本身是提供访问的密码授权机制的。文档描述也还算清晰。
所以我也觉得这不是功能问题。

当然,从安全角度,也可以做一些默认限制,
比如做成默认不设密码就不能访问
比如设置默认只绑定localhost


评分

参与人数 1信誉积分 +5 收起 理由
action08 + 5 淡定

查看全部评分

论坛徽章:
0
发表于 2015-11-26 10:01 |显示全部楼层
11月16日,国内安全研究团队启明星辰积极防御实验室成功捕获了国内首例利用Redis漏洞实现的DDOS僵尸网络控制样本。自Redis漏洞被公布以来,网络空间出现了大量利用该漏洞的攻击事件,但利用该漏洞快速部署僵尸程序,并通过僵尸网络实施高强度的分布式拒绝服务攻击还是首例。

论坛徽章:
4
白银圣斗士
日期:2015-11-24 10:40:40技术图书徽章
日期:2015-11-26 13:47:47平安夜徽章
日期:2015-12-26 00:06:30技术图书徽章
日期:2016-07-19 13:54:03
发表于 2015-11-26 14:05 |显示全部楼层
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
最主要还是存在运维安全意识不够,对于安全来说其实应该是做到权限最小化,比如redis,最好使用非root的用户进行运行,
即使被拿到了权限也不会造成太严重的后果,公网连接没有必要的话不要开启,此外再配置上连接的密码,就可以做到相对的安全。

2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
是否进行授权访问,选择权作者都已经提供给了用户,在使用开源软件的时候一定要阅读官方提供的文档,做到尽可能的安全。

3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
这种做法没有什么问题,很多情况redis只是用于内网使用的,如果加了密码验证也会增加配置的复杂度。

4 针对此事件的解决方案是什么?有什么直接有效的建议?
跟第一条一样:
1.用非root的用户进行运行,即使被拿到了权限也不会造成太严重的后果,
2.公网连接没有必要的话不要开启,或者使用防火墙只对必要的ip开启
3.配置上连接的密码

论坛徽章:
3
黄金圣斗士
日期:2015-11-23 17:59:41黄金圣斗士
日期:2015-11-24 10:38:08IT运维版块每日发帖之星
日期:2015-12-04 06:20:00
发表于 2015-12-01 11:52 |显示全部楼层
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
        如果领导问,原因是员工安全意识不够,得多加强培训;
        如果运维同事问,原因是开发没交代好怎么部署;
        如果开发同事问,原因是运维没考虑到安全为题;
        如果朋友问,原因是说白了就是员工工作不上心呗。
        又不是新手怎么可能这点安全意识都没有,说白了就是工作不上心,一个应用部署上去不考虑是否安全?防火墙开没开?配置项里面有没有什么问题?
       
2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
        这不是redis的问题,搭建的时候别让对外访问不就行了。
       
3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
        作者做法很正确。redis是用于存储的,选用他的原因就是为了提高效率,加入acl这种东西,效率又变低了吧?
        今天加个ACL,明天加个选举,后天加个XX。。最后效率都被这些东西吃掉了。
        专业的工作做专业的事,不做多余的事。

4 针对此事件的解决方案是什么?有什么直接有效的建议?
        方案很简单,能不对外开放的端口,一个都别多对外开放;对外开放的端口,都要相关开发、运维人员负责保证他的安全性。
        谁使用谁负责,落实责任,避免工作不上心,怎么方便怎么来的工作态度。

论坛徽章:
3
IT运维版块每日发帖之星
日期:2015-12-05 06:20:00数据库技术版块每日发帖之星
日期:2015-12-05 06:20:00luobin
日期:2016-06-17 17:46:36
发表于 2015-12-02 10:56 |显示全部楼层
给我发个徽章吧我还没有呢

论坛徽章:
212
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:322015亚冠之全北现代
日期:2016-05-11 17:05:27操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:22:58数据库技术版块每日发帖之星
日期:2016-05-10 19:23:04数据库技术版块每日发帖之星
日期:2016-05-10 19:23:04操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
发表于 2015-12-02 19:55 |显示全部楼层
理论是一套,实际是一套,何必认真??
用linux的人,技术应该不是很差的吧,怎么还犯这个错误??

论坛徽章:
12
2015年亚洲杯之乌兹别克斯坦
日期:2015-04-10 18:29:00狮子座
日期:2016-01-17 15:40:28处女座
日期:2016-01-16 17:36:17巨蟹座
日期:2016-01-16 17:35:48未羊
日期:2015-12-12 16:18:26青铜圣斗士
日期:2015-12-09 01:07:50IT运维版块每日发帖之星
日期:2015-12-05 06:20:00神斗士
日期:2015-12-03 23:13:59IT运维版块每日发帖之星
日期:2015-11-22 06:20:00IT运维版块每日发帖之星
日期:2015-11-08 06:20:00IT运维版块每日发帖之星
日期:2015-10-29 06:20:00IT运维版块每日发帖之星
日期:2016-06-30 06:20:00
发表于 2015-12-03 00:18 |显示全部楼层
好漂亮的勋章,楼主求勋章啊求勋章
1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么?
首先是应用开发者安全意识相对弱,没有把权限分层管控细化放在心上,所有程序都以root运行;
其次就是对redis本身的安全配置工作做到位,只想使用其提供的功能,但未考虑配置上的一些细节问题;
再者就是此redis漏洞或者是缺陷对攻击者来说比较容易利用,像通过ssh的rsa这种方式,入侵者只需要简单的几个命令就能轻易获取用户系统的最高权限,也诱发了对redis这种缺陷的注意。
2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待?
这个跟开发的用途有关系,一个产品的开发跟特定应用条件有强关联,应用条件的变化很可能会暴露出产品的缺陷,这是无法避免的;但就redis来说,如果是仅仅放置于内网安全环境使用来说,风险会少很多,同样其他产品也是一样,定期开展对公司内部网络的及应用服务的安全测试,对企业的安全防御具有重大意义
3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么?
Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的”,Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的.
4 针对此事件的解决方案是什么?有什么直接有效的建议?
a,开启身份验证
b,禁用、重命名部分关键命令
c,想web服务一样更改默认6379端口,虽然意义不是很大,但是却一定程度上减小了被攻击概率
d,减小所对应的公网ip直接暴漏在公网中。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,7折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时七折期:2019年8月31日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP