|
|
51CTO旗下网站
|
|
移动端

谈谈黑客是如何通过Redis配置漏洞获取服务器root权限的

随着现在云服务器的广泛应用,很多公司的业务都上了云。但是在使用的过程中,特别对于小公司而言,都把注意力集中在业务上,有些疏忽安全问题,导致服务器被攻击、提权。今天就谈谈黑客是如何通过Redis攻击服务器的。

作者:程序猿茶馆来源:今日头条|2019-01-24 10:57

随着现在云服务器的广泛应用,很多公司的业务都上了云。但是在使用的过程中,特别对于小公司而言,都把注意力集中在业务上,有些疏忽安全问题,导致服务器被攻击、提权。今天就谈谈黑客是如何通过Redis攻击服务器的。

一、原理解释

大家在使用Redis的时候,为了方便,很多使用没有设置密码,且没有设置IP访问权限。这就导致了黑客可以利用Redis自身提供的config的命令,将authotrized_keys写入到/root/.ssh文件夹下,通过ssh实现免密码登录。

二、环境准备

两台测试服务器

  • 黑客服务器(A)
  • 目标服务器(B)

Redis安装包(官网可下载)

三、操作流程

1、目标服务器B

编译Redis

修改redis.conf配置文件,取消IP绑定、关闭保护模式。启动redis

2、黑客服务器A

  • 生成ssh公钥和秘钥

  • 将公钥保存至weapon.txt(随便命名。换行符必不可少)

  • 将公钥上传至目标服务器

  • 通过config命令设置备份路径

  • 设置备份文件名称,并保存备份
  • 查看目标服务器是否设置成功
谈谈黑客是如何通过Redis配置漏洞获取服务器root权限的
  • 通过免秘钥登录目标服务器

【编辑推荐】

  1. 深入考察无服务器架构的安全威胁,敏感数据泄露
  2. 实例:一个服务器程序的架构介绍
  3. 什么仇什么怨?一程序员锁死服务器致公司损失百万?
  4. 服务器运维我为什么不特别爱用Web面板
  5. 服务器设计方案之应用限流
【责任编辑:武晓燕 TEL:(010)68476606】


点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

活学活用 Ubuntu Server

活学活用 Ubuntu Server

实战直通车
共35章 | UbuntuServer

216人订阅学习

Java EE速成指南

Java EE速成指南

掌握Java核心
共30章 | 51CTO王波

83人订阅学习

Mysql DBA修炼之路

Mysql DBA修炼之路

MySQL入门到高阶
共24章 | 武凤涛

468人订阅学习

读 书 +更多

Java for Flash动态网站开发手札

本书深入浅出地说明了如何利用Java、Flash及XML进行Flash富媒体应用程序的开发。 本书知识丰富,内容结构合理,包括:Flash影片应用程序与...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客