Redis空口令疯狂批量扫描大作战（redis空口令批量扫描）

Redis空口令疯狂批量扫描大作战

公司主营业务：网站设计、网站建设、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。创新互联公司是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联公司推出无棣免费做网站回馈大家。

随着互联网的高速发展，各种互联网应用的数据量也越来越大。Redis作为一款高性能的内存数据库，被广泛运用于互联网应用中。但是，由于默认情况下Redis并未开启鉴权机制，使得Redis数据库安全困境不断。近日，一批黑客群体利用反向代理程序进行大规模的Redis库扫描，其攻击手法具有高度的威胁性。

攻击手法

据分析，黑客们通过反向代理程序对Redis进行扫描。具体做法是在非标准端口（如26379）上启动代理服务，将代理服务与实际Redis实例之间建立连接。随后，通过代理服务进行Redis的弱口令扫描，其中尤以口令为空的Redis数据库为主要攻击目标。

Redis的空口令攻击威胁性极大，黑客可以利用该漏洞轻松获得数据库权限，甚至可以将整个系统控制在手中。因此，数据安全意识不强的企业必须高度关注该漏洞。

防范措施

为避免Redis空口令扫描的攻击，以下是几条防范措施：

1. 设置Redis密码

建议在Redis正式上线前，管理员必须为Redis设置复杂的登录密码。生产环境建议开启AOF持久化模式，尽量避免数据丢失。

2. 拒绝来自外部IP的Redis连接

建议不要直接把Redis服务暴露在公网上，尽量采用内网方式，对外维护就使用反向代理，不对外开放Redis端口。比如，使用nginx完成反向代理，这样可以将redis配置仅针对单个IP 打开Redis服务。

3.防火墙系统

可以配合防火墙进行安全管理，比如限制开启Redis的端口，并限制谁能访问这些端口。

4.日志审计

在生产环境中，建议开启Redis日志记录，定期审计Redis日志，及时发现并处理异常连接。

5. Redis安全检查

可以使用Redis的安全检查工具redis-check-aof或redis-check-dump进行Redis安全检查，提高安全性。以下是一个简单的Redis安全检查脚本，具体情况，请根据环境自行修改。

“`python

import redis

def redis_unauth(ip,port):

try:

conn = redis.StrictRedis(host=ip,port=port,socket_timeout=3)

conn.ping()

print(ip,port,’null password’)

except redis.exceptions.ResponseError as e:

if e.args[0] == ‘NOAUTH Authentication required.’:

print(ip,port,’need password’)

else:

pass

except redis.exceptions.ConnectionError:

pass

if __name__ == ‘__mn__’:

redis_unauth(‘127.0.0.1’,6379)

结语

针对Redis空口令攻击，企业需提高安全意识，加强安全管理。同时，采取合理有效的防范措施，降低威胁的发生。随着互联网的不断发展，数据的安全性将越来越重要。让我们一起携手为数据安全而努力！

四川成都云服务器租用托管【创新互联】提供各地服务器租用，电信服务器托管、移动服务器托管、联通服务器托管，云服务器虚拟主机租用。成都机房托管咨询：13518219792
创新互联（www.cdcxhl.com）拥有10多年的服务器租用、服务器托管、云服务器、虚拟主机、网站系统开发经验、开启建站+互联网销售服务，与企业客户共同成长，共创价值。

新闻名称：Redis空口令疯狂批量扫描大作战（redis空口令批量扫描）
文章出自：http://www.mswzjz.cn/qtweb/news1/511401.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能