事先申明:
1. 这台服务器开着的 Redis 为空密绑定到公网但是无任何应用
2. 本身是 SSH KEY 登录的 不存在密钥错误问题
很惨,我刚黑掉别人的一台 Redis 服务器然后想上自己的服务器改点文件
随后发现 SSH 连不上 报错 Key 不对(之前肯定正确)
想了一下怀疑和之前爆出的 Redis 空密码登录 VPS 有关。
为了验证自己的猜想,执行了 redis-cli -h ip
我最怕的事情发生了 果然是空密并且监听在公网 IP 上。
总结:
想了一下为什么会发生这样的问题,原来是上次测试完 Redis 在服务器上的性能 Drop 了数据库但没关掉进程导致被黑
处理方案:
VNC 重新分发了私钥下去,可以登录
并且我已经将所有测试机都添加了 nologin 用户, bind 127.0.0.1 以及加密
这个事件告诉我们,千万别在公网上做这么不安全的事情,说不准你就被黑了!
Mush
2015-11-12 00:43:43 +08:00
上午的时候盆友说他们公司的 redis 数据全没了, 让我看看, 我就登上去一看, 发现各种诡异情况, 后来一查发现是个漏洞. 好在我司都是用 docker, 最坏的情况是数据丢失几个小时的, 然而比较谨慎的我们都配置了密码. 刚才还收到了 Ucloud 的电话, 询问我们有没有不安全因素.
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/235435
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.