Redis监听端口被偷偷改了，可能带来安全隐患别忽视了

（引用来源：某网络安全技术社区的一篇案例分析帖）

前几天在一个技术论坛上闲逛,看到一个挺让人后怕的帖子，一位自称是运维工程师的网友分享了他的亲身经历，事情不大，但差点酿成大祸，他说他们公司一个用来做缓存和临时数据存储的Redis服务器，一直运行得好好的，平时也没太多人关注，结果突然有一天，他们发现某个重要服务的部分用户数据出现了奇怪的延迟和错乱，一开始还以为是代码出了bug，排查了半天都没结果。

后来,一位比较有经验的工程师觉得不对劲，就去检查了一下那台Redis服务器的状态，这一查，吓出一身冷汗，他们发现Redis服务的监听端口，不知道从什么时候开始，已经不是默认的6379了，而是被改成了一个五位数的、看起来像是随机生成的端口号，关键是，他们团队内部没有人下过这个修改指令，这就意味着，有人从外部或者内部，在未经授权的情况下，动了他们的服务器。

（引用来源：同一帖子中其他安全爱好者的讨论和分析）

这个发现立刻拉响了警报,大家开始紧急排查，他们检查了服务器的访问日志，发现确实有大量来自不明IP地址的连接尝试，不仅针对默认的6379端口，还对他们新发现的这个“秘密”端口进行了频繁的扫描和暴力破解尝试，幸运的是，他们的Redis设置了密码（虽然是比较弱的密码），并且服务器防火墙只允许有限的几个管理IP访问SSH，所以攻击者没能进一步渗透到系统深处。

那这个端口是怎么被改掉的呢？经过复盘，他们怀疑问题出在一个被所有人忽略的细节上：一个陈旧的、本该废弃的自动化部署脚本，这个脚本是之前一个离职同事写的，里面硬编码了修改Redis端口和配置的指令，原本是用在测试环境的，不知道怎么回事，这个脚本被某个部署流程意外触发了，连接到了生产服务器，执行了配置修改，这就相当于自己人无意中给服务器开了一个“后门”，虽然是无心之失，但造成的安全隐患是实实在在的。

（引用来源：国内某云服务商发布的安全公告）

这件事之所以危险,是因为Redis的特性，Redis是一个非常流行的内存数据库，速度快，但因为设计初衷是信任内网环境，所以早期版本的安全设置比较宽松，很多人在安装后，会犯一些常见错误，使用默认端口且不设密码、直接绑定在0.0.0.0（意味着允许任何IP连接）、甚至以root权限运行，这就让Redis服务器成了黑客眼中的“香饽饽”。

黑客们有专门的工具,一天24小时不停地扫描整个互联网，寻找开放了6379端口或者其他可疑端口的Redis服务，一旦找到，他们就会尝试几种常见的攻击手段，最典型的一种就是“勒索攻击”：黑客直接连接到没有认证的Redis服务器，然后执行命令，清空你原有的数据，再写入他自己的数据，比如一个勒索信息，告诉你需要支付比特币才能拿回数据，另一种更隐蔽和危险的，是直接写入SSH公钥，如果Redis是以root身份运行的，黑客可以篡改服务器的SSH登录密钥文件，把他自己的公钥写进去，这样一来，他以后就可以直接用对应的私钥，像用钥匙开门一样，轻松登录你的服务器，然后想干嘛就干嘛，挖矿、窃取数据、当作跳板攻击内网其他机器，后果不堪设想。

（引用来源：多位资深运维人员在个人博客中强调的日常安全习惯）

回到端口被改这件事上,它之所以危险，是因为它绕过了很多人的“习惯性防御”，大多数管理员会记得给默认端口6379设置防火墙规则，只允许特定的应用服务器IP来访问，但如果端口被悄无声息地改成了一个不为人知的数字，比如54321，那么原先的防火墙规则就失效了，这个新端口很可能就直接暴露在公网上，如果再加上密码强度不够或者根本没密码，那简直就是敞开了大门邀请黑客进来。

这个案例给我们的警示非常深刻,第一，不能有“一劳永逸”的想法，服务器配置好后，必须建立定期巡检制度，不仅仅是看服务是否在运行，更要检查关键配置（比如端口、绑定地址、认证设置）有没有被意外或恶意修改，可以写个简单脚本，每天对比一下当前的配置和标准的基准配置，一有变动就报警。

第二,权限管理要精细，像修改数据库配置这种高风险操作，不应该随便一个账号或一个脚本就能执行，要实行最小权限原则，并且对关键操作留有详细的日志记录，方便出事之后追查。

第三,不要依赖“隐藏”作为安全手段，有些人觉得，我把默认端口改了，黑客就找不到我了，这叫“security through obscurity”（通过隐匿实现安全），是一种非常脆弱的安全观，专业的攻击者会进行全端口扫描，你改成什么端口都能被扫出来，真正的安全要靠扎实的基础：强密码（或证书认证）、严格的网络访问控制（防火墙）、以及及时修补软件漏洞。

Redis端口被偷偷修改,无论原因是内部失误还是外部入侵，都是一个危险信号，它提醒我们，系统安全无小事，任何一个细微的疏忽，一个陈旧的脚本，一个未及时清理的配置，都可能成为整个防御体系的突破口，定期检查、严格管控、不心存侥幸，这才是守住安全底线的关键。