事件描述 很多使用者都是把redis下载到服务器直接运行使用,无ACL,无密码,root运行,且绑定在0.0.0.0:6379,暴露在公网。攻击者在未授权访问 Redis 的情况下通过redis的机制,可以将自己的公钥或者其他恶意程序写入目标服务器中,从而可以直接控制目标服务器。 2015年11月10日,不知名团体利用redis世界缺陷针对全球互联网的全网性入侵,本次攻击事件已经影响至少万余家服务器被成功入侵。redis官网并未对此提供补丁,到目前为止看到的利用过程是基于redis提供的正常功能,而且这一问题早在去年九月就作为远程代码执行RCE的技术问题做了公开发布,并只得到小范围传播。
问题: 1 此次容易遭受攻击的环境是用户自建的运行了Redis服务的Linux主机,您认为受到攻击的主要原因是什么? 2 redis在特定的领域下,具有一定的不可代替性,但安全性上,Redis未授权访问问题是一直存在,您怎么看待? 3 Redis作者放弃解决未授权访问导致的不安全性,您认为这样的做法是否正确?Redis作者这样做的原因是什么? 4 针对此事件的解决方案是什么?有什么直接有效的建议?
讨论时间:2015年11月17日——12月17日
奖励设置: 活动结束后,我们将选取1位最佳讨论奖,送ChinaUnix社区14周年圣斗士系列纪念徽章。
将选取3位讨论精彩的小伙伴送论坛读书徽章一枚
|