まえがき
根本的対策ではありませんし、当時の話なので今も通用するとは限りませんし、そもそもアクセス制限を掛けましょう
なお、この記事の内容やその利用等によって生じたいかなる損害に対しても責任は負いません
なにがあったのか
なんかいつも使ってるRedisのDBがまれによく飛ぶ謎の現象を確認したので調査したところ、攻撃を受けてるっぽい事が判明
しかし当該Redisサーバーはすぐにアクセス制限できる状態ではなかったので取り急ぎ緩和策を検討
まずは今受けている攻撃の詳細を調査しました
http://cocopoo.com/2015/11/crackredis-io-2/
ここにまとまってますが、要するに書き出されるのがまずいっぽいという事を理解した私は
「全消しされるのはどうにかしたいな…」
「変なキーが書き込まれる分にはよくないけどまぁいいだろう」
「・・・=つまりこれらのコマンドだけふさげばいいのでは」
という悪魔の閃きで生まれた手抜き対策で難を逃れることに
大事なことなので二度書きますがそもそもちゃんとアクセス制限しましょう
対策
対策自体はいたってシンプルであぶなそうなコマンドを無効化 or リネームをするだけ
rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG DEBUG_hogehoge
rename-command SHUTDOWN SHUTDOWN_hogehoge
rename-command CONFIG CONFIG_hogehoge
この例だとCONFIGとかは使いそうなのでRenameで対処しています
まとめ
アクセス制限しましょう