记一次redis无密码漏洞

最新推荐文章于 2024-03-06 00:11:13 发布
最新推荐文章于 2024-03-06 00:11:13 发布
阅读量349 收藏
点赞数
分类专栏: redis 文章标签: redis 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qinxun2008081/article/details/131246871
版权
文章讲述了在客户本地电脑上发现公司项目的Redis服务存在无密码的安全隐患。为解决此问题,文章提供了两个步骤:首先,在application.yml配置文件中添加Redis密码;然后,修改Redis配置文件启用requirepass并设置相同密码。最后,重启Redis服务以应用更改,确保数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在客户本地电脑上公司的项目被检测出redis无密码的漏洞,之前因为一直没有注意这一块,redis的密码一直都没有设置。

一、application.yml设置redis密码

二、redis配置文件修改密码

 

 我们在配置文件中取消requirepass的注释,并设置和application.yml中redis的一样的密码。

三、重启redis

Redis未授权访问漏洞录(端口:6379、Linux、Windows)
墨痕诉清风的博客
11-12 7412
这就让黑客有了可乘之机,黑客可以远程连接到该数据库。但随着现代的服务部署方式的不断发展,组件化成了不可逃避的大趋势,docker就是这股风潮下的产物之一,而在这种部署模式下,一个单一的容器中不会有除 redis以外的任何服务存在,包括sh和 crontab,再加上权限的严格控制,只靠写文件就很难再 getshell了,在这种情况下,我们就需要其他的利用手段了。并且可以在 /root/.ssh/ 目录下看到我们上传的 authorized_keys 文件,正是由于这个文件的存在,我们才可以在本地用私钥登录。.
SSRF漏洞Redis利用篇
weixin_39664643的博客
01-21 3579
SSRF漏洞Redis利用篇 SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF漏洞攻击内网Redis SSRF攻击内网Redis 当存在SSRF漏洞且内网中Redis服务可以未授权访问时,利用Redis 任意文件写入成为十分常见的利用方式,一般内网中会存在 root 权限运行的 Redis 服务,利用 Gopher 协议可以攻击内网
Tomcat使用JDK证书配置HTTPS环境
Paris_0008的博客
09-25 477
环境 Tomcat 8 JDK1.7 及以上 步骤 一.生成证书 1,生成keystore keytool -genkeypair -alias devsso -keyalg "RSA" -keystore devsso.keystore 名称与姓氏必须为域名 www.zhoul.com 2,导出证书 keytool -export -alias devsso -file ...
Redis没有加密漏洞导致服务器被入侵以及解决的过程
lingmeng447的专栏
04-30 870
一次Redis漏洞导致服务器被入侵以及解决的过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
redis未设置密码被植入挖矿脚本
最新发布
QQ657205470的博客
03-06 1569
无意间发现启动redis的时候cpu瞬间拉到了100%,主要就是zzh和newinit.sh两个脚本。百度了一下说是被植入了挖矿脚本,是因为redis没有设置密码。参考着搜到的博客处理了问题,但是系统好多命令和配置都被破坏了,还是有必要重装。删除 ia 参数 :chattr -ia zzh ,提示没有权限。然后再回到 etc 目录下,执行 chattr -ia zzh。再执行 cat /etc/crontab ,发现有一条定时任务。在网上搜索 zzh,发现 zzh 是一种挖矿脚本。删除定时任务和这个脚本。
防止利用redis未设置密码漏洞入侵服务器
子幽七
09-22 870
防止redis通过未设置密码入侵服务器
一次Redis漏洞导致服务器被入侵以及解决的过程
orisonchan的博客
08-09 2725
其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script 'S01w...
Redis未授权漏洞总结
weixin_39664643的博客
01-21 2472
Redis未授权漏洞总结 0x00 Redis介绍 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库,其具备如下特性: 基于内存运行,性能高效 支持分布式,理论上可以无限扩展 key-value存储系统 开源的使用ANSI C语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API 目前guthub/twitter/微博/阿里/美团/百
redis未授权访问漏洞
ad12456的博客
05-12 3037
漏洞场景: Redis 4.x/5.x 未授权访问漏洞: 因配置不当可以未经授权访问,攻击者无需认证就可以访问到内部数据,其漏洞可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据,攻击者还可通过 EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接免密码登录服务器。 还能被利用去挖矿。 Redias: Redis的常见数据类型: ①: String:字符和整型。 缓存、分布式session、分布式锁、全局ID
Redis未授权访问漏洞(四)SSH key免密登录
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-10 987
步骤一:我们通过攻击机启动Redis客户端去远程连接靶机的6379端口,模仿黑客通过公网的6379端口入侵企业的Web服务器。然后回到我们攻击机的.ssh目录下,注意这一步必须在.ssh目录下执行,不然会找不到文件的。发现两个文件的内容居然是一样的,那么现在我们是不是可以实现ssh-key免密登录了?好了,ssh-key免密登录的流程已经复习完毕了,正式进入我们的实战试验吧。注意:生成的目录是.ssh,是一个隐藏的目录。我们的靶机上出现了刚刚我们从客户端传来的文件。这里让我们输入靶机root用户的密码
springboot配置redis
Limy-离人怎挽
08-02 889
1:单机配置 # Redis数据库索引(默认为0) spring.redis.database=1 # Redis服务器地址 #spring.redis.host=172.16.20.103 spring.redis.host=127.0.0.1 # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) #spring.redis.pas...
Redis 配置密码大坑!NOAUTH Authentication required
nanjingyige的博客
04-27 4503
问题起因:小编在找了一份优秀的源码想要跑起来,可是代码默认是配置密码的,而我装的redis没有配置密码Redis在安装的时候也是默认没有密码的)下面就是我的解决方案 1.windows版redis需要使用指令进行启动,指令如下: redis-server redis.windows.conf 需要注意的是需要前往redis.windows.conf文件下找到requirepass字段给他设置密码,设置密码后必须用以上指令进行启动方可正式生效,否则一直没有密码。 2.验证一下自己的密码没有
SpringBoot集成redis
星月昭铭的博客
07-23 269
在SpringBoot中集成redis较为简单,具体步骤如下(也可以通过快速配置选择redis,这样就不用自己配置什么东西了) 新建一个SpingBoot web工程 应该都会 新建一个配置文件,这里新建一个application.yml文件 添加redis配置信息(本人设置了密码没有设置密码的可以不添加password) host和port都有默认值,host的默认值是localhost(相...
application.yml文件中配置Redis
Demolist的博客
01-02 3599
【代码】application.yml文件中配置Redis
redis非关系数据库设置连接password
小白有个大牛梦
03-09 1102
redis修改密码
sprintboot Redis配置详解
u010125432的博客
10-21 896
# REDIS (RedisProperties) # Redis数据库索引(默认为0) spring.redis.database=0 # Redis服务器地址 spring.redis.host=localhost # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) spring.redis.password= # 连接池最大连接数(使用负值表示没有限制) spring.redis.pool.max-active=8 # 连接池最大阻塞等
在SpringBoot项目中配置Redis
热门推荐
m0_63445035的博客
04-25 1万+
SpringBoot的Redis配置
redis配置以及密码设置
小陈没烦恼
01-08 8198
前言 redis默认情况下是没有密码的,这很容易导致服务器被攻击,被挖矿!今天就给大家简单讲解一下自己在配置redis过程中所学习的,方便大家以后快速的上手。注意:如果想快速配置则不需要看参数介绍,直接看总结!!! 参数介绍 redis中主要有三个参数来进行安全控制的,也是我们最常用的三个。 bind①这个参数默...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qinxun2008081

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值