|
事件描述 很多使用者都是把redis下載到服務(wù)器直接運(yùn)行使用,無ACL��,無密碼�����,root運(yùn)行,且綁定在0.0.0.0:6379����,暴露在公網(wǎng)。攻擊者在未授權(quán)訪問 Redis 的情況下通過redis的機(jī)制�,可以將自己的公鑰或者其他惡意程序?qū)懭肽繕?biāo)服務(wù)器中,從而可以直接控制目標(biāo)服務(wù)器�����。 2015年11月10日���,不知名團(tuán)體利用redis世界缺陷針對全球互聯(lián)網(wǎng)的全網(wǎng)性入侵�����,本次攻擊事件已經(jīng)影響至少萬余家服務(wù)器被成功入侵。redis官網(wǎng)并未對此提供補(bǔ)丁���,到目前為止看到的利用過程是基于redis提供的正常功能�,而且這一問題早在去年九月就作為遠(yuǎn)程代碼執(zhí)行RCE的技術(shù)問題做了公開發(fā)布���,并只得到小范圍傳播��。
問題: 1 此次容易遭受攻擊的環(huán)境是用戶自建的運(yùn)行了Redis服務(wù)的Linux主機(jī)���,您認(rèn)為受到攻擊的主要原因是什么�? 2 redis在特定的領(lǐng)域下��,具有一定的不可代替性����,但安全性上,Redis未授權(quán)訪問問題是一直存在����,您怎么看待? 3 Redis作者放棄解決未授權(quán)訪問導(dǎo)致的不安全性�,您認(rèn)為這樣的做法是否正確?Redis作者這樣做的原因是什么����? 4 針對此事件的解決方案是什么?有什么直接有效的建議���?
討論時(shí)間:2015年11月17日——12月17日
獎(jiǎng)勵(lì)設(shè)置: 活動(dòng)結(jié)束后����,我們將選取1位最佳討論獎(jiǎng),送ChinaUnix社區(qū)14周年圣斗士系列紀(jì)念徽章��。
將選取3位討論精彩的小伙伴送論壇讀書徽章一枚
book1-big.gif (10.85 KB, 下載次數(shù): 283)
下載附件
2015-11-17 17:56 上傳
獲得圖書徽章的朋友��,可在ChinaUnix社區(qū)圖書庫兌換技術(shù)圖書一本����。(如果沒有合適的圖書,大家可以先屯著徽章�����,有喜歡的圖書在兌換 )
| 
免費(fèi)注冊
發(fā)表于 2015-11-17 17:55
發(fā)表于 2015-11-18 09:21
念章.png "2016科比退役紀(jì)念章
日期:2016-11-07 08:28:12")
