前言
由于以前内网的redis都是无密码的,会有各种安全漏洞,并且近日集团IT邮件通告所有安装了redis的都需要改造。否则将通报...,为了避免有漏网之鱼,我们使用了nmap结合自带的redis脚本进行扫描。
近日,安全中心监测到近期黑客利用Redis 未授权访问配合 SSH key对Redis数据库进行远程攻击,已有部分主机利用,攻击者可利用该漏洞可获取主机的root权限,进行非法操作,如:执行服务器命令、关机服务器、删除服务器程序、停止进程等,危害极高
为避免您的业务受影响,请务必对所管辖的Redis数据库进行安全自查,及时进行更新修复,避免被攻击者入侵。【漏洞概述】 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网、内网,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器进行其它非法操作 ,等同于拿到root权限。
Redis 安全模型是: “请不要将 Redis 暴露在公开网络中, ,在内网的Redis,请配置相关认证因为让不受信任的用户接触到 Redis 是非常危险的”
【己知存在漏洞主机】
己知存在漏洞的主机:DMZ区4台,内网109台,很多内网都通过反向代理发布在互联网,同样存在高危风险 ,统一都需要修复。(详细存在漏洞清单请看附件)
【风险等级】 高风险 (存在主机被黑风险)【漏洞风险】 可被攻击者获取主机root权限,【修复建议】 1、禁止主机以root权限启动Redis服务,
2、配置bind选项,限定可以连接Redis服务器的IP,修改 Redis 的默认端口6379
3、配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中
请各产品经理组织人员进行自查,并在二周内修复,安全部门将在后续进行排查、通报。
经过几天的风风火火改造完成,但是还有些机器可能会残留一个“无密码”的redis服务,所以便要进行机器IP:端口扫描。
机器列表分两批:
1、普通内网:10.xxx.xxx.xxx网段,工作本机可以随意访问; (可以使用可视化的zenmap进行扫描)
普通内网网段
2、DMZ隔离网:172.xxx.xxx.xxx网段,工作本机要开通策略才可以访问端口,但172.内的机器可以相互访问。
如果使用了本地的zenmap进行扫描那些没申请开通“网络策略”的机器,则会被显示filtered
DMZ网段
3、随意找一台dmz机器下载最新的nmap,使用命令行方式执行:自带脚本 --script redis-info
A:下载 curl -O https://nmap.org/dist/nmap-7.60.tar.bz2
B:解压 tar -xvf nmap-7.60.tar.bz2
C:1、执行 ./configure;2、执行 make;3、执行 make install
D: ./nmap -p 6379 --script redis-info 172.16.14.220
注:执行行nmap 如提示无脚本的,请查看当前的版本,一般最新版本官方都自带常用的脚本。
查看版本:nmap -v
nmap参考:
网友评论