(4) 清理系统中存在的后门木马。
三、Memcached 未授权访问漏洞CVE-2013-7239
漏洞信息
(1) 漏洞简述Memcached 是一套分布式高速缓存系统。它以 Key ?C Value 的形式将数据存储在内存中。这些数据通常是会被频繁地应用、读取的。正因为内存中数据的读取速度远远大于硬盘的读取速度所以可以用来加速应用的访问。由于 Memcached 的安全设计缺陷客户端连接 Memcached 服务器后无需认证就可读取、修改服务器缓存内容。
(2) 风险等级高风险。
(3) 漏洞编号CVE-2013-7239 。
(4) 影响范围Memcached 全版本。
检测方法
登录机器执行 netstat -an | more 命令查看端口监听情况。回显 0.0.0.0:1121111211 表示在所有网卡进行监听存在 Memcached 未授权访问漏洞。
1 2 3 |
|
提示连接成功表示漏洞存在。
使用端口扫描工具 nmap 进行远程扫描
1 |
|
修复方法
(1) 配置访问控制。建议用户不要将服务发布到互联网上以防被黑客利用而可以通过安全组规则或 Iptables 配置访问控制规则只允许内部必需的用户地址访问命令如下
1 |
|
(2) bind 指定监听 IP。如果 Memcached 没有在外网开放的必要可在 Memcached 启动时指定绑定的 IP 地址为 127.0.0.1。例如
1 |
|
(3) 最小化权限运行。使用普通权限账号运行以下指定 memcached 用户运行
1 |
|
(4) 修改默认端口。修改默认 11211 监听端口为 11222 端口
1 |
|
(5) 备份数据。为避免数据丢失升级前应做好备份或建立硬盘快照。
四、JBOSS 未授权访问漏洞
漏洞信息
(1) 漏洞简述JBOSS 企业应用平台EAP是 J2EE 应用的中间件平台。默认情况下访问 http://ip:8080/jmx-console 就可以浏览 jboss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。
(2) 风险等级高风险。
(3) 漏洞编号无。
(4) 影响范围JBOSS 全版本。
检测方法
先用 nmap 扫描查看端口开放情况看是否开放 JBOSS 端口。再使用漏洞测试工具测试 jmx 组件存在情况通过访问 http://ip:jboss端口/ 看是否能进入 jmx-console 和 web-console 。
修复方法
JMX Console 安全配置
① 找到 %JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml 文件去掉下面这段 xml 文本的注释。
② 与 jboss-web.xml 同级的目录下还有一个文件 web.xml找到下面这段 xml 文本把 GET 和 POST 两行注释掉同时 security-constraint 整个部分取消注释, 不然存在head头绕过。
③ %JBOSS_HOME%\server\default\conf\props\jbossws-users.properties 中删除原始的 admin/admin添加新的用户名密码。
④ %JBOSS_HOME%\server\default\conf\props\jbossws-roles.properties 中定义新用户名所属角色。该文件定义的格式为用户名 = 角色多个角色以 “,” 隔开该文件默认为 admin 用户定义了 JBossAdmin 和 HttpInvoker 这两个角色。
1 2 |
|
五、VNC 未授权访问漏洞
漏洞信息
(1) 漏洞简述VNC 是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。VNC 默认端口号为 5900、5901。VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制受控主机危害相当严重。
(2) 风险等级高风险。
(3) 漏洞编号无。
(4) 影响范围VNC 全版本。
检测方法
使用 metasploit 进行批量检测
(1) 在 kali 下运行 msfconsolemsfconsole。
(2) 调用 VNC 未授权检测模块use auxiliary/scanner/vnc/vnx_none_auth。
(3) 显示有哪些选项show options。
(4) 设置地址段set rhosts ip 或 段。
(5) 设置线程set threads 50。
(6) 开始扫描run。
修复方法
(1) 配置 VNC 客户端登录口令认证并配置符合密码强度要求的密码。
(2) 以最小权限的普通用户身份运行操作系统。
六、Docker 未授权访问漏洞
漏洞信息
(1) 漏洞简述Docker 是一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台Docker 存在问题的版本分别为 1.3 和 1.6因为权限控制等问题导致可以脱离容器拿到宿主机权限。
(2) 风险等级高风险。
(3) 漏洞编号无。
(4) 影响范围Docker 1.3、Docker 1.6。
检测方法
先用 nmap 扫描查看端口开放情况。2375 为 docker 端口如果存在漏洞会有以下情况url 输入 ip:2375/version 就会列出基本信息也可以执行目标服务器容器命令如 container、image 等。
修复方法
(1) 使用 TLS 认证。
(2) 网络访问控制Network Access Control
七、ZooKeeper 未授权访问漏洞
漏洞信息
(1) 漏洞简述ZooKeeper 是一个分布式的开放源码的分布式应用程序协调服务是 Google 的 Chubby 一个开源的实现是 Hadoop 和 Hbase 的重要组件。它是一个为分布式应用提供一致性服务的软件提供的功能包括配置维护、域名服务、分布式同步、组服务等。ZooKeeper 默认开启在 2181 端口在未进行任何访问控制的情况下攻击者可通过执行 envi 命令获得系统大量的敏感信息包括系统名称Java 环境。这将导致任意用户在网络可达的情况下进行为未授权访问并读取数据甚至 kill 服务。
(2) 风险等级高风险。
(3) 漏洞编号无。
(4) 影响范围Zookeeper 全版本。
检测方法
(1) 通过 nmap 扫描开放了 2181 端口的主机。
(2) 运行脚本通过 socket 连接 2181 端口并发送 envi 命令若服务端返回的数据中包含 ZooKeeper 的服务运行环境信息即可证明存在未授权访问。
检测脚本
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
|
修复方法
(1) 修改 ZooKeeper 默认端口,采用其他端口服务,配置服务来源地址限制策略。
(2) 增加 ZooKeeper 的认证配置。
八、Rsync 未授权访问漏洞
漏洞信息
(1) 漏洞简述:Rsync(remote synchronize)是一个远程数据同步工具,可通过 LAN/WAN 快速同步多台主机间的文件,也可以同步本地硬盘中的不同目录。Rsync 默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。Rsync 的默认端口为 837。
(2) 风险等级:高风险。
(3) 漏洞编号:无。
(4) 影响范围:Rsync 全版本。
检测方法
nmap 扫描:nmap ip -p837。
列出当前目录,显示用户:rsync ip。
如果是root,可以下载任意文件并上传文件。
修复方法
(1) 隐藏 module 信息:修改配置文件 list =false。
(2) 权限控制:不需要写入权限的 module 的设置为只读 Read only = true。
(3) 网络访问控制:使用安全组策略或白名单限制,只允许必要访问的主机访问:hosts allow = 123.123.123.123。
(4) 账户认证:只允许指定的用户利用指定的密码使用 rsync 服务。
(5) 数据加密传输:Rsync 默认没有直接支持加密传输,如果需要 Rsync 同步重要性很高的数据,可以使用 ssh。
相关文章教程推荐:web安全教程
以上就是常见的未授权访问漏洞总结的详细内容,更多文章请关注木庄网络博客!
相关阅读 >>
更多相关阅读请进入《常见》频道 >>
