记一次redis无密码漏洞

最新推荐文章于 2024-08-11 03:16:42 发布
原创 最新推荐文章于 2024-08-11 03:16:42 发布 · 452 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#redis #数据库 #java

文章讲述了在客户本地电脑上发现公司项目的Redis服务存在无密码的安全隐患。为解决此问题,文章提供了两个步骤:首先,在application.yml配置文件中添加Redis密码;然后,修改Redis配置文件启用requirepass并设置相同密码。最后,重启Redis服务以应用更改,确保数据安全。

最近在客户本地电脑上公司的项目被检测出redis无密码的漏洞,之前因为一直没有注意这一块,redis的密码一直都没有设置。

一、application.yml设置redis密码

二、redis配置文件修改密码

 

 我们在配置文件中取消requirepass的注释,并设置和application.yml中redis的一样的密码。

三、重启redis

redis漏洞利用总结
渗透之路,攻防之间皆学问
10-17 7230
redis属于非关系型数据库,在开启后默认监听端口为6379。若Redis配置不当可导致攻击者直接获取到服务器的权限。利用条件:redis以root身份运行,存在未授权访问,弱口令或者口令泄露等主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);数据的复制是单向的,只能由主节点到从节点。Redis的持久化使得机器即使重启数据也不会丢失,因为redis服务器重启后会把硬盘上的文件重新恢复到内存中。
Redis 添加密码,解决 Redis 未授权漏洞
甘蓝的专栏
04-09 480
介绍 Redis 未授权访问漏洞及修复办法。
redis未设置密码被植入挖矿脚本
QQ657205470的博客
03-06 1684
无意间发现启动redis的时候cpu瞬间拉到了100%,主要就是zzh和newinit.sh两个脚本。百度了一下说是被植入了挖矿脚本,是因为redis没有设置密码。参考着搜到的博客处理了问题,但是系统好多命令和配置都被破坏了,还是有必要重装。删除 ia 参数 :chattr -ia zzh ,提示没有权限。然后再回到 etc 目录下,执行 chattr -ia zzh。再执行 cat /etc/crontab ,发现有一条定时任务。在网上搜索 zzh,发现 zzh 是一种挖矿脚本。删除定时任务和这个脚本。
redis无密码登录
m0_67401228的博客
04-07 2275
redis配置文件redis.conf中,Redis3.2加入的新特性,开启保护模式。即开启了protected-mode,默认值为 protected-mode =yes 是说redis只允许本机登录。 这样登录的前提是要设置密码,即要requirepass属性, requirepass =你设置的密码 如要无密码登录,就要设置protected-mode =no ,即可 ...
防止利用redis未设置密码漏洞入侵服务器
子幽七
09-22 944
防止redis通过未设置密码入侵服务器
Redis没有加密漏洞导致服务器被入侵以及解决的过程
lingmeng447的专栏
04-30 928
一次Redis漏洞导致服务器被入侵以及解决的过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
一次学习过程(redis的编译安装,以及有关redis漏洞的学习,包括redis未授权写入ssh公钥、redis写入木马、redis主从复制漏洞linux版)同时录几个威胁分析平台
banliyaoguai的博客
08-03 1258
这个东西的流程是你发现了一个网站,然后你扫描对方端口,发现6379端口开着,而且通过一些其他漏洞可以登陆上redis后,你在redis中执行操作获取webshell权限。测试公私钥的时候不要在你的攻击机子和redis的服务器的机子上测试,或者你把测试完成的文件在服务器上删掉,删掉之前得保存。这个是你冒充redis的主服务器,让redis从服务器下载木马(这里使用工具)这是你已经连接上了redis,你在redis中操作,在redis中写入公钥。(下图是测试出现问题的情况,没出现问题的情况忘截图了)
redis未授权访问漏洞
Naive的博客
05-28 1936
Redis安装后,如果绑定在,并且没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的/root/.ssh文件夹的。
Redis未授权访问漏洞录(端口:6379、Linux、Windows)
墨痕诉清风的博客
11-12 7697
这就让黑客有了可乘之机,黑客可以远程连接到该数据库。但随着现代的服务部署方式的不断发展,组件化成了不可逃避的大趋势,docker就是这股风潮下的产物之一,而在这种部署模式下,一个单一的容器中不会有除 redis以外的任何服务存在,包括sh和 crontab,再加上权限的严格控制,只靠写文件就很难再 getshell了,在这种情况下,我们就需要其他的利用手段了。并且可以在 /root/.ssh/ 目录下看到我们上传的 authorized_keys 文件,正是由于这个文件的存在,我们才可以在本地用私钥登录。.
Redis】Linux系统上因Redis未设置密码而导致的安全问题
运维技术博客
03-22 3087
文章目录1. 漏洞概述2. 漏洞产生的原因:3. 产生安全问题的条件4. 漏洞利用的过程5. 解决方案 1. 漏洞概述 在一定条件下,Redis没有设置密码,会出现一些安全问题 任何人都能远程连接 Redis,读取 Redis 中的数据 使用 Redis 的一些命令,可以在 服务器上写入 SSH 公钥,使用私钥免密登录到服务器上 2. 漏洞产生的原因: Redis 3.2.x < 3.2.4 版本存在缓冲区溢出漏洞,可导致任意代码执行。Redis数据结构存储的 CONFIG SET 命令中 cli
如果redis没设置密码 那么密码链接会怎么样
weixin_40668969的博客
08-11 321
项目方案:关于Redis无密码链接的安全性分析与解决方案 项目背景 Redis 是一个开源的内存数据结构存储系统,常被用作数据库、缓存和消息中间件。虽然 Redis 提供了密码保护功能,但在某些环境中,出于性能或者开发便利的考虑,可能会选择不设置密码。这种情况下,Redis 的安全性就变得非常脆弱,可能导致未授权访问和数据...
Tomcat使用JDK证书配置HTTPS环境
Paris_0008的博客
09-25 519
环境 Tomcat 8 JDK1.7 及以上 步骤 一.生成证书 1,生成keystore keytool -genkeypair -alias devsso -keyalg "RSA" -keystore devsso.keystore 名称与姓氏必须为域名 www.zhoul.com 2,导出证书 keytool -export -alias devsso -file ...
Redis未授权访问漏洞(四)SSH key免密登录
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-10 1048
步骤一:我们通过攻击机启动Redis客户端去远程连接靶机的6379端口,模仿黑客通过公网的6379端口入侵企业的Web服务器。然后回到我们攻击机的.ssh目录下,注意这一步必须在.ssh目录下执行,不然会找不到文件的。发现两个文件的内容居然是一样的,那么现在我们是不是可以实现ssh-key免密登录了?好了,ssh-key免密登录的流程已经复习完毕了,正式进入我们的实战试验吧。注意:生成的目录是.ssh,是一个隐藏的目录。我们的靶机上出现了刚刚我们从客户端传来的文件。这里让我们输入靶机root用户的密码
springboot配置redis
Limy-离人怎挽
08-02 918
1:单机配置 # Redis数据库索引(默认为0) spring.redis.database=1 # Redis服务器地址 #spring.redis.host=172.16.20.103 spring.redis.host=127.0.0.1 # Redis服务器连接端口 spring.redis.port=6379 # Redis服务器连接密码(默认为空) #spring.redis.pas...
redis设置密码
wpb74521wrf的博客
03-13 2455
redis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证 编辑redis配置文件redis.conf 1.初始化redis密码配置文件中有个参数: requirepass 这个就是配置redis访问密码的参数; requirepass password (配置密码后需要重启redis生效) 方式一:通过配置文件(/etc/r...
redis设置密码和取消密码
淘小欣的博客
05-20 2623
redis设置密码和取消密码 文章目录redis设置密码和取消密码一、设置临时密码二、永久设置密码 一、设置临时密码 获取密码 config get requirepass 设置密码 config set requirepass root 当有密码的时候登录时需要密码登录 auth 密码 取消密码 config set requirepass '' 设置密码: 不用密码登录就会报错 二、永久设置密码配置文件中设置 Windows:r
排查解决腾讯云服务器存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:6379)的访问
热门推荐
xiaobozhang1993的博客
08-05 1万+
【腾讯云】服务违规封禁提醒 解决方法来自腾讯客服 https://cloud.tencent.com/document/product/296/9604,这是我们给您的建议,建议您排查下您的服务器情况 您现在登录上您的服务器了嘛 您执行下crontab -l 给我看下 在执行 netstat -ano|egrep "tcp|udp" redis端口这里有问题 您执行netstat -tupln 给我看下 您这个非常危险 您re...
密码重置漏洞
最新发布
09-21
### 一、漏洞核心原理 1. **信任链断裂** - 重置流程依赖用户可控参数(如邮箱、手机号),未与服务端会话绑定[^1][^2] - 攻击者篡改请求中的`Host`头,构造恶意重置链接诱导用户点击[^1] ```http GET /reset...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qinxun2008081

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值