日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
程序被竊取寶貴資源Redis被植入挖礦程序(redis被植入挖礦)

程序被竊取寶貴資源:Redis被植入挖礦程序

Redis是一款開(kāi)源的高性能Key-Value存儲(chǔ)系統(tǒng),廣泛應(yīng)用于互聯(lián)網(wǎng)公司的緩存、消息隊(duì)列、分布式鎖等場(chǎng)景。然而,近期有不少Redis用戶遭遇了嚴(yán)重的安全問(wèn)題:他們的Redis被黑客攻擊后,被植入了挖礦程序,用于非法挖掘數(shù)字貨幣,導(dǎo)致CPU占用率飆升、機(jī)器負(fù)載過(guò)高,嚴(yán)重影響了業(yè)務(wù)的正常運(yùn)行。

redis被植入挖礦程序的原理,主要是利用了Redis的漏洞或弱口令來(lái)入侵系統(tǒng),然后上傳惡意腳本,通過(guò)調(diào)用系統(tǒng)資源進(jìn)行挖礦。這類攻擊往往采用自動(dòng)化工具進(jìn)行掃描和攻擊,隱蔽性高,可能還會(huì)利用Redis的消息隊(duì)列功能向外部發(fā)起攻擊,形成鏈?zhǔn)焦簟?/p>

以下是一份常見(jiàn)的Redis漏洞/配置清單,大家可以借鑒使用:

1.未設(shè)置密碼:如果Redis沒(méi)有設(shè)置密碼,那么相當(dāng)于門(mén)戶大開(kāi),被曝光出去的Redis實(shí)例非常容易受到攻擊。因此,將Redis的密碼設(shè)置強(qiáng)且定期修改很有必要。

2.沒(méi)有限制IP:如果Redis不限制只有白名單IP才能連接,那么它就完成了廢物所有密碼的工作,毫無(wú)一點(diǎn)別的防護(hù)。因此,合理限制訪問(wèn)Redis的IP范圍也是非常重要的。

3.未修改默認(rèn)端口:Redis的默認(rèn)端口是6379,如果沒(méi)有修改默認(rèn)端口,那么攻擊者可以在不需要探聽(tīng)的情況下輕松找到它,假冒成登陸Redis機(jī)器運(yùn)行挖礦程序。

4.未關(guān)閉命令控制臺(tái):命令控制臺(tái)是Redis非常重要的功能之一,但如果開(kāi)放它給公網(wǎng),那就會(huì)就會(huì)存在被攻擊并使用挖礦程序的風(fēng)險(xiǎn)。

要想防范Redis被植入挖礦程序,我們可以采取以下策略:

1.限制Redis的IP訪問(wèn)范圍,僅允許內(nèi)網(wǎng)或管理機(jī)訪問(wèn);

2.加強(qiáng)Redis的安全策略,如:修改默認(rèn)密碼和端口,關(guān)閉不必要的功能,定期檢查安全漏洞;

3.及時(shí)更新Redis軟件的版本,并且避免安裝可疑的第三方模塊或腳本。

以下是一個(gè)防范Redis攻擊的Python腳本,可以挖掘出Redis是否有弱口令漏洞,以及輸出當(dāng)前Redis所有的key值,供大家參考:

“`python

import redis

def check_redis(host, port):

r = redis.Redis(host=host, port=port)

keys = r.keys(“*”)

print(“[+] Current Redis Keys: “, keys)

def connect_redis(host, port, password):

r = redis.Redis(host=host, port=port, password=password)

keys = r.keys(“*”)

print(“[+] Succeed to Connect Redis: “, host, port, password)

print(“[+] Current Redis Keys: “, keys)

def mn():

host = “127.0.0.1”

port = 6379

check_redis(host, port)

passwords = [“123456”, “redis”, “admin”]

for password in passwords:

try:

connect_redis(host, port, password)

except:

print(“[-] Fled to connect to Redis: “, host, port, password)

if __name__ == ‘__mn__’:

mn()


Redis的安全性問(wèn)題一直備受關(guān)注,只有在合理的安全策略下才能更好的保障Redis的安全性和穩(wěn)定性。作為互聯(lián)網(wǎng)開(kāi)發(fā)者與運(yùn)維人員我們應(yīng)該學(xué)會(huì)警惕安全隱患,使用好安全工具,提高自身保護(hù)能力。

成都網(wǎng)站建設(shè)選創(chuàng)新互聯(lián)(?:028-86922220),專業(yè)從事成都網(wǎng)站制作設(shè)計(jì),高端小程序APP定制開(kāi)發(fā),成都網(wǎng)絡(luò)營(yíng)銷推廣等一站式服務(wù)。


文章名稱:程序被竊取寶貴資源Redis被植入挖礦程序(redis被植入挖礦)
文章路徑:http://www.dlmjj.cn/article/dpjohpo.html