近日,北京白帽汇安全团队(nosec.org)宣布,双11期间发现全网性的入侵事件:某团体利用Redis的“未经授权登陆”漏洞,对国内互联网服务器进行大规模的入侵。此次攻击事件已经导致至少10000台暴露Redisserver的服务器被入侵,占比达到Redis开放服务器的67%。在此次安全事件中,腾讯云安全团队第一时间为用户发送了漏洞提醒和漏洞修复建议。
Redis作为性能卓越的KV存储系统得到了广泛应用,所以影响范围比较大。黑客可通过执行脚本代码,或通过数据备份功能写入后门文件。如果Redis以root身份运行,黑客甚至可以绕过Linux安全机制,直接登录受害服务器,安全防御如同虚设。
截至目前,Redis官方网站并未对此提供补丁,至少目前为止看到利用的过程都是基于Redis提供的正常功能。如果入侵成功,不仅可以取得服务器上所有机密信息,甚至可以对数据进行恶意删除,给被入侵者带来巨额损失。
问题来了:这样的攻击应该如何防范?
黑客如何通过漏洞窃取信息?
黑客首先通过端口扫描器,对开放公网端口的服务器进行扫描。当发现了Redis的服务端口以后就尝试进行登录,如果碰巧该redis-server没有设置密码的话,就可以顺利的控制这个redis-server了;更进一步黑客还可以尝试将自己的密钥文件通过save命令存储到机器的ssh目录当中,如果等黑客完成了这一操作,那么你的这台机器就实实在在的沦为了一台肉机了;黑客甚至可能通过这台机器为起点攻破并且控制肉机所在网络的所有服务器,这对公司或者组织的损失将是无法估量的。
腾讯云存储Redis如何保障数据安全?
腾讯云存储Redis(CloudRedisStore)是兼容Redis协议的分布式缓存和存储服务。支持主从热备自动容灾,支持数据快照和Key粒度的数据管理及回档,用户可作为Key-Value数据库使用。
腾讯云存储Redis产品介绍
CRS系统将数据的存储和用户的接入分开,同一个用户的数据分布在多台机器上,从而突破单机内存容量的限制;同时,多个用户的数据,保存在同一台机器,通过一定的策略,隔离多个用户,避免用户之间相互影响。整个系统包括如下几部分:
在线存储系统:接入集群、存储集群和导入导出服务;
数据高可靠系统:主备同步模块、流水系统和冷备中心;
运维监控系统:日志中心和多维监控系统;
支持系统:任务中心、配置中心和路由系统;
云存储Redis技术架构图
腾讯云存储Redis通过内外网隔离机制,安全审计等方式,保障数据安全:
云存储Redis利用腾讯云统一的网络防火墙,将Redis的服务端口保护在云机房内部,这样就杜绝了黑客从外网进行端口扫描和恶意攻击的通道;
对于黑客购买腾讯云主机,企图从内网发起网络攻击的情况,我们在网络路由策略上进行了用户之间的强制隔离,防止用户访问到其他用户的Redis实例;
云存储Redis的接入层会进行统一的恶意命令安全审计和强密码校验,从而更加强化对用户的数据安全防护。
随着Redis成为越来越多企业的首选内存数据库解决方案,Redis的流行也带来一系列安全问题,其中存在的漏洞将会受到越来越多黑客的关注。重视Redis数据安全,规避运营风险,才能保障业务健康快速的发展。