memcache 端口11211 未授权访问漏洞

漏洞描述:
memcache是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信息。

修复方案:
因memcache无权限控制功能,所以需要用户对访问来源进行限制。

方案一:

如果memcache没有在外网开放的必要,可在memcached启动的时候指定绑定的ip地址为 127.0.0.1。例如:

memcached -d -m 1024 -u root -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

其中 -l 参数指定为本机地址。

方案二:(注意:请谨慎配置iptables规则)

如果memcache服务需要对外提供服务,则可以通过iptables进行访问控制,下面是只允许本机访问:

// accept
# iptables -A INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT
# iptables -A INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT

// drop
# iptables -I INPUT -p tcp --dport 11211 -j DROP
# iptables -I INPUT -p udp --dport 11211 -j DROP

// 保存规则并重启 iptables
# service iptables save
# service iptables restart

上述规则的意思是只允许192.168.0.2这个ip对11211端口进行访问。

验证 memcache 端口11211开启情况
以IP(1.2.3.4)为例:

telnet 1.2.3.4 11211

无需用户名密码,可以直接连接memcache 服务的11211端口。

执行如下命令获得相应结果:

# stats  //查看memcache 服务状态
# stats items  //查看所有items
# stats cachedump 32 0  //获得缓存key
# get :state:264861539228401373:261588   //通过key读取相应value ,获得实际缓存内容,造成敏感信息泄露

时间: 2024-09-23 22:25:32

memcache 端口11211 未授权访问漏洞的相关文章

Memcache未授权访问漏洞利用及bug修复详解

memcached是一套分布式的高速缓存系统.它以Key-Value(键值对)形式将数据存储在内存中,这些数据通常是应用读取频繁的.正因为内存中数据的读取远远大于硬盘,因此可以用来加速应用的访问. 漏洞成因: 由于memcached安全设计缺陷,客户端连接memcached服务器后 无需认证就 可读取.修改服务器缓存内容. 漏洞影响: 除memcached中数据可被直接读取泄漏和恶意修改外,由于memcached中的数据像正常网站用户访问提交变量一样会被后端代码处理,当处理代码存在缺陷时会再次导

阿里云CentOS+PHP+Nginx+Redis未授权访问漏洞

在阿里云上挂了一个网站,运行CentOS+PHP+Nginx,服务器装了redis,端口是6379,打开阿里云后台云盾报一个安全漏洞,漏洞类型是Redis未授权访问漏洞,漏洞地址是xx.xx.xx.xx:6379,也提供了解决方案. 记录如下: 一.漏洞描述和危害 Redis因配置不当可以未授权访问,被攻击者恶意利用. 攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据. 攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,

Redis3未授权访问漏洞导致服务器被入侵

今天在腾讯云上搭的开发环境里的一台机器cpu load飚升老高,然后还能登陆上去,top后发现两个可疑进程./root/目录下有修改过的文件./opt目录被干掉了, 后经分析,这台机器上有redis外网服务,/root目录下还有个READ_ME.txt,  内容如下: 中招了,,两个可疑进程 在腾讯云上找到篇处理步骤: Redis 默认情况下,会绑定在 0.0.0.0:6379,这样会将 Redis 服务暴露到公网上,在Redis服务器没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的

Memcache内存缓存的未授权访问漏洞解决办法

漏洞描述   Memcache是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的Memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取Memcache中的敏感信息.   修复方案   因Memcache无权限控制功能,所以需要用户对访问来源进行限制,下面分享4中有效的解决方法.   1.绑定IP   如果Memcache没有在外网开放的必要,可在Memcache启动的时候指定绑定的IP地址为 127.0.0.1.例如:  memcached -d -

所谓的"新姿势之Docker Remote API未授权访问漏洞分析和利用"

最近乌云上出现了一篇文章 http://drops.wooyun.org/papers/15892.这种作者就一个好,写文章比谁都快,可惜从来不愿意踏踏实实的分析,非得搞个大新闻,把Docker/Swarm批判一番. 先说结论,Docker采用C/S结构,但是它的client和server用的是同一个binary文件: docker,根据参数不同执行不同的代码分支,所以很多人可能都不清楚Docker是C/S结构的.Docker的Server端,也叫作Docker Daemon,运行命令/path

Redis 未授权访问缺陷可轻易导致系统被黑

Sebug 网站公布了 Redis 未授权访问缺陷的详细漏洞信息,这个 Redis 未授权访问缺陷可轻易导致系统被黑.详细内容请看下文: 漏洞概要 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访 问Redis以及读取Redis的数据.攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的

SSLC0008E: 无法初始化 SSL 连接。未授权访问被拒绝,或者安全性设置已到期。

问题描述 [12-6-2914:34:37:936CST]0000001aSSLHandshakeEESSLC0008E:无法初始化SSL连接.未授权访问被拒绝,或者安全性设置已到期.异常:javax.net.ssl.SSLHandshakeException:ClientrequestedprotocolUnknown-0.2notenabledornotsupportedatcom.ibm.jsse2.gb.t(gb.java:444)atcom.ibm.jsse2.qc.b(qc.java

全球近80万FTP服务器账号可被未授权访问

最近,安全研究人员Minxomat尝试对全球所有的IPv4地址进行一个FTP枚举测试.经过测试发现,有796578个FTP登陆口令枚举成功,可以进行未经授权访问.在测试的过程中该研究人员主要是尝试针对21号端口进行匿名访问,密码为空.如果要通过字典枚举账号和密码,那么这个数量会下降很多. 扫描器我们见过很多,但是这个扫描器有些与众不同.Minxomat说道:"我一直想做一个可以扫描器,可以通过低配置的KVM进行使用,也就是说这个扫描器不能依靠别的扫描框架,而是单纯通过几个简单的脚本文件就可以执行

漏洞预警:Hadoop 未授权访问可导致数据泄露

近日,国外媒体报道全球Hadoop服务器因配置不安全导致海量数据泄露,涉及使用Hadoop分布式文件系统(HDFS)的近4500台服务器,数据量高达5120 TB (5.12 PB),经分析,这批数据泄露的近4500台HDFS服务器中以美国和中国为主. 事件原因: 互联网上暴露的Hadoop服务器如果没有配置访问认证均可能受影响,攻击者针对HDFS的攻击删除了大多数目录,并会添加一个名为"NODATA 4U_SECUREYOURSHIT"的新目录和"PLEASE_README