公司外网测试服务器 redis 被攻击复盘
最近 公司外网的测试的 redis 服务器被攻击,最开始是用 docker 搭建的 直接裸奔在外网,任何域名都可以通过 ip+6379来访问,最开始想的是测试服务器也没有啥,后面直接就被人登陆进去改了 redis 的密码,后面加强了一下,加了一个内网的访问地址
docker run --name redis -d \ --volume /data/redis:/var/lib/redis \ --publish 10.25.174.225:6379:6379 \ jackluo/redis
这样只允许内网访问,但是好景不长,结果 又来了,至少他是咋 个进来的,我到目前还不清楚,但是
然后查了一下资料
果然发现 redis 数据 是被改了
127.0.0.1:6379> config get dbfilename 1) "dbfilename" 2) "root" 127.0.0.1:6379> config get dir 1) "dir" 2) "/var/spool/cron"
redis 的 dir 默认值是/var/lib/redis
他把目录换了是想获取 root 的权限 ,还好不是用 root 启的 docker 服务,
查看了一下 docker 的redis日志错误
27154] 31 Mar 14:01:33.044 # Failed opening .rdb for saving: Permission denied [1] 31 Mar 14:01:33.138 # Background saving error [1] 31 Mar 14:01:39.065 * 10000 changes in 60 seconds. Saving... [1] 31 Mar 14:01:39.067 * Background saving started by pid 27155 [27155] 31 Mar 14:01:39.107 # Failed opening .rdb for saving: Permission denied
发现从3.31号就开始攻击了
## 最后说一下如何修复吧
1.设置密码,
2.设计访问的 ip
3.采用普通用户启动redis