• 发布时间 2018-09-11
• 更新时间 2018-09-11
• 漏洞等级 High
• CVE编号

漏洞详情

近日UCloud安全中心监测到多起Redis入侵勒索事件，攻击者通过开放在公网的未授权的Redis服务入侵、控制用户主机，进而删除、加密用户数据并对用户进行恶意勒索，影响严重。

影响范围

开放在公网且无鉴权认证的Redis服务

修复方案

1.修改数据库配置文件，禁止公网访问：
修改配置文件redis.conf中配置，只监听本机，例如：
bind 127.0.0.1    # 修改为本地地址或可信任网络地址
2.通过访问规则，限制访问IP:
1）通过UCloud外网防火墙，限制可访问redis端口（默认为6379）的源IP；
2）通过设置系统iptables规则，限制可访问redis端口（默认为6379）的源IP，例如：
iptables -A INPUT -s <可访问IP段> -t tcp --dport 6379 -j ACCECT
iptables -A INPUT -s 0.0.0.0/0 -t tcp --dport 6379 -j DROP
/sbin/service iptables save
3.开启认证授权，防止未授权登录：
在配置文件redis.conf中配置requirepass 密码，重启redis使其生效，密码强度请满足安全要求，防止暴力破解攻击。
requirepass <password>
4.禁用高危命令，避免恶意操作：
在配置文件redis.conf中使用rename-command将高危命令重命名为空或自定义的一个字符串，增加使用难度；
例：将 CONFIG、EVAL、SHUTDOWN、FLUSHDB重命名为空
rename-command CONFIG   ""
rename-command EVAL     ""
rename-command SHUTDOWN ""
rename-command FLUSHDB  ""
5.设立数据库独立的账号
数据库账号仅有访问本地数据库文件的权限，除此之外的目录不允许有写权限，禁止使用root权限；
6.开启数据方舟服务
数据方舟可为UCloud云主机和云硬盘提供连续数据保护的服务，支持在线实时备份，遭遇到勒索入侵时可使用数据方舟及时恢复数据
7.数据及时备份，防止发生意外
重要数据设置双备份，出现意外时可从备份文件中进行恢复；
8.使用UCloud云内存Redis数据库服务
UCloud云内存产品已经进行安全加固且会由相关团队定期维护，不受该漏洞影响。