如何防範和應對Redis勒索，騰訊雲教你出招

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~

本文由騰訊雲數據庫 TencentDB 發表於雲+社區專欄

9月10日下午，又一塊兒規模化利用Redis未受權訪問漏洞攻擊數據庫的事件發生，這次黑客以勒索錢財做爲目的，猖狂至極，甚至直接刪除數據庫數據。因爲騰訊雲早在17年就發現過Redis這個漏洞，有個預案，因此這一次更是第一時間啓動全網通知提醒，周知騰訊雲用戶進行防範，同時給出防範和應對措施。

【漏洞概述】

Redis 默認狀況下，會綁定在 0.0.0.0:6379，致使Redis服務暴露到公網上。

若是在沒有開啓認證而且在任意用戶能夠訪問目標服務器的狀況下，能夠未受權訪問Redis服務，進一步可進行數據增刪改查，甚至獲取服務器權限等惡意操做，屬於高風險漏洞

【漏洞利用條件】

\1. Redis服務以root帳戶運行；

\2. Redis無密碼或弱密碼進行認證；

\3. Redis監聽在0.0.0.0公網上；

【防範建議】

\1. 禁止Redis服務對公網開放，可經過修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"便可（Redis原本就是做爲內存數據庫，只要監聽在本機便可）；

\2. 設置密碼訪問認證，可經過修改redis.conf配置文件中的"requirepass" 設置複雜密碼 （須要重啓Redis服務才能生效）； 3. 對訪問源IP進行訪問控制，可在防火牆限定指定源ip才能夠鏈接Redis服務器；

\4. 修改Redis默認端口，將默認的6379端口修改成其餘端口；

\5. 禁用config指令避免惡意操做，在Redis配置文件redis.conf中配置rename-command項"RENAME_CONFIG"，這樣即便存在未受權訪問，也可以給攻擊者使用config 指令加大難度；

\6. Redis使用普通用戶權限，禁止使用 root 權限啓動Redis 服務，這樣能夠保證在存在漏洞的狀況下攻擊者也只能獲取到普通用戶權限，沒法獲取root權限；

\7. 採用騰訊雲Redis數據庫產品，**騰訊雲Redis數據庫默認已進行以上加固，而且會由相關團隊進行維護，不受該漏洞影響，詳細信息能夠點擊此處瞭解。

【清理木馬】

若是您的主機已經被利用並上傳了木馬，參考木馬清理方案以下：

\1. 阻斷服務器通信。

(如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP)

\2. 清除定時器任務。

(如systemctl stop crond 或者crontab –e 刪除未知的計劃任務)

\3. 刪除木馬和未知公鑰文件。

(如 /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知受權；chmod –x 惡意程序)

\4. 終止木馬進程。

(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)

\5. 終止惡意service

(查看是否有惡意的服務，如lady - service ladystop)

問答
redis有備份嗎？
相關閱讀
Redis勒索事件爆發，如何避免從刪庫到跑路?
騰訊雲數據庫MySQL遊戲行業數據安全實踐分享
CynosDB for PostgreSQL 架構淺析
【每日課程推薦】機器學習實戰！快速入門在線廣告業務及CTR相應知識

此文已由做者受權騰訊雲+社區發佈，更多原文請點擊

搜索關注公衆號「雲加社區」，第一時間獲取技術乾貨，關注後回覆1024 送你一份技術課程大禮包！

海量技術實踐經驗，盡在雲加社區！