redis 被黑了好难过

2016-03-31 13:53:42 +08:00

ruclemon

#redis 没设密码，被黑了。
redis 被清空了，留下了 crackit 这个键
留下了 founder@cia.go的公钥。
有没有人能告诉我这是谁干的

4943 次点击

所在节点

信息安全

15 条回复

seerhut

2016-03-31 14:02:24 +08:00

端口直接露给外网了？？

ruclemon

2016-03-31 14:05:18 +08:00

@seerhut 是的😂默认配置简直蠢

lecher

2016-03-31 14:11:54 +08:00

redis 、 mongodb 之类的默认帐号都是空，新手的时候难免有这样的坑踩一下。

cloverstd

2016-03-31 14:19:35 +08:00

最近发现简单用用 iptables 还是不难的

GPU

2016-03-31 17:25:13 +08:00

我也没有设置外网，不过 bind 了 localhost

wesley

2016-03-31 17:27:56 +08:00

redis 不是默认绑在 127.0.01 上的吗?

VmuTargh

2016-03-31 17:31:05 +08:00

@wesley nnya.cat 有提到默认 0.0.0.0 暴露外网= =

lyragosa

2016-03-31 17:31:16 +08:00

还好我 redis 是拿来当 memcache 用

我每天自己都要清空好几次。

hyuwang

2016-03-31 17:43:56 +08:00

docker 大法好

hienchu

2016-03-31 18:03:45 +08:00

sigh...

JamesRuan

2016-03-31 18:18:12 +08:00

跑数据的机子扔在公网上都不上防火墙吗？

yinheli

2016-03-31 18:19:25 +08:00

同样被坑过.... iptables 没开

gamexg

2016-04-01 12:39:20 +08:00

@lyragosa 不止可以清空数据，还可以写文件，有不少被写入了 key 通过私钥登录服务器。

lyragosa

2016-04-01 13:25:38 +08:00

@gamexg 看了一下，默认配置就是 bind 在 127.0.0.1 上了。

应该没啥问题。

RIcter

2016-04-01 19:04:59 +08:00

http://drops.wooyun.org/tips/10564

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/267620

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.