歡迎大家前往騰訊雲+社區，獲取更多騰訊海量技術實踐幹貨哦~

本文由騰訊雲數據庫 TencentDB發表於雲+社區專欄

9月10日下午，又一起規模化利用Redis未授權訪問漏洞攻擊數據庫的事件發生，此次黑客以勒索錢財作為目的，猖狂至極，甚至直接刪除數據庫數據。由於騰訊雲早在17年就發現過Redis這個漏洞，有個預案，所以這一次更是第一時間啟動全網通知提醒，周知騰訊雲用戶進行防範，同時給出防範和應對措施。

【漏洞概述】

Redis 默認情況下，會綁定在 0.0.0.0:6379，導致Redis服務暴露到公網上。

如果在沒有開啟認證並且在任意用戶可以訪問目標服務器的情況下，可以未授權訪問Redis服務，進一步可進行數據增刪改查，甚至獲取服務器權限等惡意操作，屬於高風險漏洞

【漏洞利用條件】

\1. Redis服務以root賬戶運行；

\2. Redis無密碼或弱密碼進行認證；

\3. Redis監聽在0.0.0.0公網上；

【防範建議】

\1. 禁止Redis服務對公網開放，可通過修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"即可（Redis本來就是作為內存數據庫，只要監聽在本機即可）；

\2. 設置密碼訪問認證，可通過修改redis.conf配置文件中的"requirepass" 設置復雜密碼 （需要重啟Redis服務才能生效）； 3. 對訪問源IP進行訪問控制，可在防火墻限定指定源ip才可以連接Redis服務器；

\4. 修改Redis默認端口，將默認的6379端口修改為其他端口；

\5. 禁用config指令避免惡意操作，在Redis配置文件redis.conf中配置rename-command項"RENAME_CONFIG"，這樣即使存在未授權訪問，也能夠給攻擊者使用config 指令加大難度；

\6. Redis使用普通用戶權限，禁止使用 root 權限啟動Redis 服務，這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通用戶權限，無法獲取root權限；

\7. 采用騰訊雲Redis數據庫產品，**騰訊雲Redis數據庫默認已進行以上加固，並且會由相關團隊進行維護，不受該漏洞影響，詳細信息可以點擊此處了解。

【清理木馬】

如果您的主機已經被利用並上傳了木馬，參考木馬清理方案如下：

\1. 阻斷服務器通訊。

(如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP)

\2. 清除定時器任務。

(如systemctl stop crond 或者crontab –e 刪除未知的計劃任務)

\3. 刪除木馬和未知公鑰文件。

(如 /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權；chmod –x 惡意程序)

\4. 終止木馬進程。

(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)

\5. 終止惡意service

(查看是否有惡意的服務，如lady - service ladystop)

問答
redis有備份嗎？
相關閱讀
Redis勒索事件爆發，如何避免從刪庫到跑路?
騰訊雲數據庫MySQL遊戲行業數據安全實踐分享
CynosDB for PostgreSQL 架構淺析
【每日課程推薦】機器學習實戰！快速入門在線廣告業務及CTR相應知識

此文已由作者授權騰訊雲+社區發布，更多原文請點擊

搜索關註公眾號「雲加社區」，第一時間獲取技術幹貨，關註後回復1024 送你一份技術課程大禮包！

海量技術實踐經驗，盡在雲加社區！

如何防範和應對Redis勒索，騰訊雲教你出招