漏洞无密码Redis被全球大规模扫描（扫描无密码redis）

近日，安全团队黑客潮发现了一种漏洞，可能导致无密码Redis被全球大规模扫描。Redis（远程字典服务）是一种开源的内存数据存储，可以提供超过20多种功能，包括性能和安全。但是，如果没有密码保护，Redis服务器将不会被成功认证，并且将成为攻击者入侵网络的宝贵目标。

黑客潮利用一项名为“Redisgrep”的技术，可以穷尽查找未加密的Redis服务器并且在全球大规模扫描。Redisgrep利用一个支持多个协议的网络分析引擎，结合Google Cloud Platform和Amazon Web Services公有云，对14个国家的335个网络空间进行扫描，以便发现可能的漏洞和Redis服务器。

扫描的结果显示，整个网络中有7998个host符合扫描标准，其中90.05％处于在线状态，全球大量未加密的Redis服务器被暴露出来，而攻击者可以轻松利用和入侵这些网络服务器进行攻击。

为了保护Redis服务器不被扫描和攻击，用户可以强制实施认证机制。应禁止以非安全方式连接到公网。安全连接可以使用SSH或VPN令牌。Redis客��端和服务器之间所有的认证操作都应该事先定义，例如需要在每次访问服务器时输入密钥。此外，建议用户对客户端进行防火墙设置，以避免不安全的网络通信攻击。用户应当定期为自己的Redis服务器扫描，以确保Redis服务器未被成功攻击。

如果Redis服务器不安装安全机制或入侵性测试，可能会被大规模扫描和攻击，Web应用也可能会受到严重损害。为了有效防止攻击者未经授权连接Redis服务器，建议用户对Redis服务器和客户端都进行安全认证，例如应用的口令或使用SSH私钥等等。

# 启用 Redis 认证
$ redis-cli
> CONFIG SET requirepass "password"
> AUTH password

# 更改Redis配置，禁止远程访问
$ redis-cli
> CONFIG SET "bind 127.0.0.1"