http://blog.csdn.net/u011001084/article/details/79640818
剛好是做信息安全這塊。簡單說下
問題如上面幾位所說邑贴。出在 redis
早期的 redis 在軟件源中安裝以后是以 root 權(quán)限運(yùn)行的束亏。而 redis 提供了將數(shù)據(jù)轉(zhuǎn)儲到指定文件的功能铃在。也就是說你可以以 root 權(quán)限在全盤任意位置寫入文件。文件的內(nèi)容也是可控的。而對于 ssh 的 authorized_keys 并不嚴(yán)格要求數(shù)據(jù)格式定铜。只要某一行存在公鑰即可阳液。由此引發(fā)了漏洞。例如利用 redis 給 root 寫公鑰揣炕。給 web 目錄寫 php 的 webshell 等等帘皿。
具體的漏洞詳情可以搜一下 redis 寫公鑰漏洞
新版本的 redis 在安裝時候會自動建立一個名為 redis 的用戶。然后以這個用戶權(quán)限啟動畸陡。
修復(fù)辦法
1.升級到最新版本鹰溜。
2.如不是特別必要《」В可將 redis 的監(jiān)聽地址改為 127.0.0.1曹动。
3.給 redis 加上訪問密碼。但別是弱口令
被入侵后檢測
1.檢查 crontab(/etc/crontab 和 /var/spool/cron/crontabs/中的文件)
2.檢查異常進(jìn)程牲览。這個依機(jī)器被入侵程度具體對待
3.檢查~/.ssh/authorizeds_keys仁期。如果發(fā)現(xiàn)持續(xù)寫入。多半是有個進(jìn)程監(jiān)控或是定時任務(wù)
4.檢查~/.profile 及~/.bashrc竭恬□说埃看看是否有后門
其他方面
1.別用編譯安裝。能軟件源解決就軟件源解決痊硕。因為編譯安裝以后赊级。并不會根據(jù)需求創(chuàng)建服務(wù)及低權(quán)賬戶。等于還是 root 跑
