《多视角下的Rsync协议攻击防御-paperpen.pdf》由会员分享，可在线阅读，更多相关《多视角下的Rsync协议攻击防御-paperpen.pdf（32页珍藏版）》请在三个皮匠报告上搜索。

1、多视角下的多视角下的RsyncRsync协议攻击防御协议攻击防御PaperPenTimeline Sec网络安全团队创始人平安科技银河实验室安全研究员3 年网络安全从业经验擅长方向：红蓝攻防/规则防御/SRC挖掘目前研究方向：云安全/网安教育培训PaperPen王鑫旭About Me0 x00 前言Rsync介绍01白帽子视角02企业防御视角03安全产品视角04目 录RsyncRsync介绍介绍01占有带宽少安全不需要特殊权限速度快Rsync 是一款开源的、快速的、多能的、可以实现全量以及增量的本地或者是远程的数据同步（拷贝）备份数据同步（拷贝）备份的优秀工具Remote Remote syn

2、chronizationsynchronization远程同步远程同步0 x01 Rsync 介绍1.1 什么是 Rsync0 x01 Rsync 介绍1.2 Rsync 指纹特征默认端口为 873protocol=rsync|banner=RSYNCD:白帽子视角白帽子视角02Rsync未授权访问Rsync目录爆破利用Rsync服务进行getshell风险点寻找未授权路径 认证爆破权限（上传/下载）思考：如何实现批量自动化检测？rsync rsync:/ip:port rsync rsync:/ip:port/模块名/rsync rsync:/ip:port/模块名/文件名./0 x02 白

3、帽子2.1 Rsync 未授权访问0 x02 白帽子2.2 Rsync 目录爆破0 x02 白帽子2.2 Rsync 目录爆破0 x02 白帽子2.3 getshell 实战案例NC 连接 Rsync 过程：0 x02 白帽子2.4 批量检测漏洞RSYNCD:版本号（返回）RSYNCD:版本号（输入）模块名（输入）多种返回结果（返回）nc target_ip port01A U T H R E Q D 需 要 用 户 名 密 码02a c c e s s d e n i e d需 要 i p 白 名 单03其 它 模 块 不 存 在04直 接 回 车直 接 显 示 模 块 名0 x02 白帽子

4、2.4 批量检测漏洞nc 连接的 4 种结果0 x02 白帽子2.4 批量检测漏洞12345nc 连接判断是否建立连接客户端返回指定版本号内容根据返回情况输出至不同文件内服务端返回版本号读取模块名字典文件拼接测试企业防御视角企业防御视角03在 Rsync 服务器上，配置 ACL 以限制可以连接的IP地址或服务器：Rsync配置文件：rsyncd.conf 指定允许的IP地址/主机：hosts allow指定拒绝的IP地址/主机：hosts deny配置访问控制列表（配置访问控制列表（ACL）使用 SSH 作为 Rsync 的传输协议，只让具备 SSH 密钥的授权用户进行连接和传输。使用使用SS

5、H进行认证进行认证若还是决定使用 Rsync 的传统方式进行传输，请确保已为 Rsync 用户设置密码保护。设置 Rsync 密码文件在 Rsync 配置文件中，将其指定为secrets file设置密码保护设置密码保护0102030 x03 企业防御视角3.1 如何正确配置在服务器上设置防火墙规则，以阻止外部访问 Rsync 端口（默认为873）只允许来自信任的 IP 地址范围的流量访问这个端口防火墙规则防火墙规则确保您正在运行最新版本的 Rsync软件，因为较新的版本通常包含更多的安全性修复和改进及时升级 Rsync 以降低潜在的漏洞风险更新更新 Rsync软件软件限制 Rsync 服务器

6、运行时的权限，以降低潜在的攻击面确保 Rsync 服务器以最小特权运行，只能访问必要的文件和目录最小化权限最小化权限0405060 x03 企业防御视角3.1 如何正确配置0 x03 企业防御视角3.2 配置示例rsyncd.confauth users=secrets file=/etc/rsyncd.secretshosts allow=hosts deny=安全产品视角安全产品视角040 x04 产品安全视角4.1 如何正确检测监测Rsync命令执行查看系统日志文件，监测rsync命令的执行监测系统中执行的所有Rsync命令监测大规模文件传输监测远程IP地址检测异常Rsync行为/var

7、/log/rsync.log/var/log/auth.log0 x04 产品安全视角4.1 如何正确检测监测Rsync命令执行可能是数据泄露的标志检测大规模文件传输监测大规模文件传输监测远程IP地址检测异常Rsync行为监测Rsync操作中传输的文件数量和大小，如果超过阈值，则触发警报。0 x04 产品安全视角4.1 如何正确检测监测Rsync命令执行可以触发警报。如果有 IP 地址尝试连接到 Rsync 服务器，但是始终模块错误监测大规模文件传输监测远程IP地址检测异常Rsync行为 0 x04 产品安全视角4.1 如何正确检测监测Rsync命令执行可以触发警报如果Rsync文件传输速率异

8、常高或异常大规模文件传输监测大规模文件传输监测远程IP地址检测异常Rsync行为0 x04 产品安全视角4.2 防御规则检测Rsync端口扫描 如果有多个连接尝试到Rsync端口（873），可能是入侵者在扫描系统以寻找未经授权的访问。alert tcp$EXTERNAL_NET any-$HOME_NET 873(msg:Possible Rsync Port Scanning;flow:established,to_server;threshold:type limit,track by_src,count 10,seconds 60;)检测Rsync暴力破解检测到Rsync目录爆破检测异常

9、Rsync行为0 x04 产品安全视角4.2 防御规则检测Rsync端口扫描如果有用户尝试通过爆破连接到Rsync服务器，可以触发警报。alert tcp$EXTERNAL_NET any-$HOME_NET 873(msg:Rsync Brute Force Attack;flow:to_server,established;content:ERROR:auth failed on module;threshold:type limit,track by_src,count 10,seconds 60;)检测Rsync暴力破解检测到Rsync目录爆破检测异常Rsync行为0 x04 产品安全

10、视角4.2 防御规则检测Rsync端口扫描如果有IP地址尝试连接到Rsync服务器但是始终模块错误，可以触发警报。alert tcp$EXTERNAL_NET any-$HOME_NET 873(msg:Rsync Brute Force Directory;flow:to_server,established;content:ERROR:Unknown module;threshold:type limit,track by_src,count 10,seconds 60;)检测Rsync暴力破解检测到Rsync目录爆破检测异常Rsync行为0 x04 产品安全视角4.2 防御规则检测Rsy

11、nc端口扫描如果Rsync文件传输速率异常高或异常大规模文件传输，可以触发警报 alert tcp$HOME_NET 873-$EXTERNAL_NET any(msg:Suspicious Rsync Behavior;flow:established,to_server;content:from=;content:files/sec;dsize 4096;)检测Rsync暴力破解检测到Rsync目录爆破检测异常Rsync行为总结总结FinallyFinally准确进行检测，从而帮助企业及时发现风险及威胁并及时阻正确设置配置文件，免受访问控制权限缺陷带来的安全风险测试时要尽可能全面覆盖安全问题，并且思考如何通过自动化方式提升效率安全厂商企业防守方白帽子不同角色不同视角不同思考T H A N K ST H A N K SQ&A致谢 朱文哲平安科技银河实验室致谢 杨莉平安科技银河实验室致谢 熊陶腾讯云鼎实验室