Redis曝新漏洞——RedisRaider

Datadog安全实验室命名了一个名为RedisRaider的恶意行为。

RedisRaider 会随机扫描公网中的Redis服务器，并利用合法的 Redis 配置命令在易受攻击的系统上执行恶意 cron 任务。

执行成功后，会植入一个基于 Go 语言的主要有效载荷，在受感染的系统上释放一个 XMRig 挖矿程序。

主要攻击流程：

此恶意行为使用一个定制扫描器来识别互联网上公开可访问的 Redis 服务器，然后发出 INFO 命令以确定这些实例是否在 Linux 主机上运行。如果确认是 Linux 主机，扫描算法将继续滥用 Redis 的 SET 命令来注入一个 cron 任务。

恶意软件随后利用 CONFIG 命令将 Redis 的工作目录更改为“/etc/cron.d”，并向该位置写入一个名为“apache”的数据库文件，以便 cron 调度程序定期拾取它并运行一个 Base64 编码的 shell 脚本，该脚本随后从远程服务器下载 RedisRaider 二进制文件。

影响：

除了服务器端的加密劫持外，RedisRaider 的基础设施还托管了一个基于网络的门罗币挖矿程序，实现了多管齐下的收入生成策略。

如果你手里有公网Redis，赶快检查一下吧。

生产用Redis严禁暴露在公网哦。不然后悔都来不及。

参考：
https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html?_m=
3n%2e009a%2e3672%2exd0aof7ifn%2e2p9o

Tags：jedis scan