文章出自:http://news.wooyun.org/6e6c384f2f613661377257644b346c6f75446f4c77413d3d 符合预警中“Redis服务配置不当”条件的服务器,均有被攻击者控制的风险. 11月4日,国外安全研究人员@antirez 公布Redis服务一例高危安全风险.其发现,Redis服务如果配置不当,结合SSH服务,可以直接获取服务器的ROOT权限. 服务器配置不当包括三部分: Redis服务使用ROOT账户启动: Redis服务无密码认证或者弱密码…

服务器配置不当包括三个部分:1.Redis服务使用ROOT账号启动2.Redis服务无密码认证或者使用的是弱口令进行认证3.服务器开放了SSH服务,而且允许使用密钥登录 简单的写下过程 测试环境victim server CentOS6.6 192.168.1.11attack server CentOS6.6+redis2.4 192.168.1.12   1 2 3 4 5 6 7 8 9 10 $ telnet 192.168.1.11 6379 Trying 192.168.1.11..…

Nginx配置不当可能导致的安全问题 Auther: Spark1e目前很多网站使用了nginx或者tenginx(淘宝基于Nginx研发的web服务器)来做反向代理和静态服务器,ningx的配置文件nginx.conf的一些错误配置可能引发一些安全问题.要了解这些问题,我们先简单了解一下Nginx的配置文件 0x00 Nginx的配置文件的格式 Nginx的主配置文件非常简短,是由一些模块构成的.在任何情况下Nginx都会加载其主配置文件.一个主配置文件nginx.conf的结构如下: ...…

Redis配置不当致使root被提权漏洞 Dear all~ 最近Redis服务被曝出因配置不当,可能造成数据库被恶意清空,或被黑客利用写入后门文件造成进一步入侵,请关注! 一.漏洞发布日期 2015年11月10日 二.已确认被成功利用的软件及系统 对公网开放,且未启用认证的redis服务器. 三.漏洞描述 最近Redis服务被曝出因配置不当,被攻击者进行恶意利用. 黑客借助redis内置命令,可以对现有数据进行恶意清空. 如果Redis以root身份运行,黑客可往服务器上写入SSH公钥文件,直…

大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是系统时钟配置不当会导致i.MXRT1xxx系列下OTFAD加密启动失败问题. 我们知道,i.MXRT1xxx家族早期型号(RT1050/RT0160/RT1020)的硬件解密外设名字叫BEE,这个外设主要是配合FlexSPI外设去实现外接串行NOR Flash在线解密XIP执行用的.而到了最近的i.MXRT1xxx新型号(RT1010/RT1170)上,BEE外设被替换成了OTFAD外设,功能不变,解密效率得到了很大提升,但客户在使…

转,原文:https://blog.csdn.net/zfszhangyuan/article/details/53389916 ------------------------------------------------ 这个问题,在线上集群环境一般不容易出现,因为相关的日志文件参数都已经配置好了,而且经受住时间的的验证了. 作为新手,我在本地配置了一个单机kafka,用得是kafka自带的zookeeper服务. kafka安装很简单如下: 1).下载kafka: wget http:/…

大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是FlexSPI复位方式不当会导致i.MXRT系列下OTFAD加密启动失败问题. 本篇是<系统时钟配置不当会导致i.MXRT1xxx系列下OTFAD加密启动失败> 的后续篇,我们为i.MXRT1010解决了OTFAD时钟配置限制问题后,加密的App就一定能正常跑了吗?其实并不一定,如果你的App跟IAP有关(即会调用FlexSPI驱动去擦写Flash),免不了会在FlexSPI驱动里操作FlexSPI外设寄存器的软复位位,软复位操作…

redis-server忘了把配置里面的daemonize的no改成yes所以把redis-server加入到了/etc/rc.local里面,在服务器启动的时候就会阻塞在这里,导致服务器不能启动.[解决方案]使用GRUB时,可以添加一个S(大写S)到内核命令行,可以进入单用户模式.要做到这样, 需要重新起动系统,当GRUB的屏幕出现时: 1.使用方向键选择你希望引导的内核. 2.按下e键以编辑这个命令行. 3.选择以单词kernel起头的这行.4.按下e键以编辑这个命令行.5.在行末添加一个字…

原文地址 漏洞描述 Redis默认情况下,会绑定在0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据.攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功在Redis服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器. Redis未授权访问配合SSH key文件利用分析 起因 当看到redis漏洞描述的时候,且自己线上正式环境redis都有…

示例演示环境:PowerEdge R620 + H710p Raid控制卡  + 9 x 300G 10k SAS 硬盘 H310.H710.H810的配置方法与H710P大致相同,在此不再累述. 特别说明,本文相关RAID的操作,仅供网友在测试环境里学习和理解戴尔PowerEdge服务器RAID控制卡的功能和使用方法.切勿直接在生产服务器上做相关实验,这可能有误操作并造成数据丢失的风险! 一.PERC卡RAID配置信息的初始化: 戴尔PowerEdge服务器RAID控制卡的配置,可以使用戴尔提…