1、2019 WORKLOAD SECURITY SERVICE REPORT OF CHINA 中国产业互联网发展联盟 腾讯标准 腾讯安全 青藤云安全 联合出品 让安全之光照亮互联网的每一个角落 中国产业互联网发展联盟 中国产业互联网发展联盟是从事产业互联网融合创新的企业、 科研院所、 大学院校和协会联盟 自愿组成的全国性非营利社会组织。 该联盟设立的宗旨是基于 “平等自愿、 优势互补、 资源共享、 共同发展” 的原则, 围绕工信部的中心工作, 整合联盟内企业、 行业内企业的专家、 技术、 服务、 平 台等资����源, 发挥 “官产学研资” 协同优势, 促进产业�����互联网新应用、 新模式、 新业态的创新发
2、展, 推 动传统产业的转型升级。 腾讯高度重视标准化研究与应用的工作, 为适应外部环境的挑战, 满足内部产品与服务的需求, 于2016年起组建专业的标准化团队, 以 “通过标准化助力互联网服务提质增效 “为使命, 以” 立足 战略、 聚焦业务、 开放生态 “为原������则, 专注于跟踪政策标准、 获取资质认证、 参与标准研究、 牵头标 准制定等方面工作, 助力业务发展、 体现责任担当、 推动行业共识。 腾讯标准 腾讯安全依托 20 年多业务安全运营及黑灰产对抗经验, 凭借行业顶尖安全专家、 最完备安全大 数据及 AI 技术积累, 提供紧贴业务需要的安全最佳实践, 构建了一套自适应的闭环安全防护体 系,
3、 包含基础安全防护体系, 安全运营中心、 业务安全服务体系等, 其产品矩阵涉及终端安全、 网 络安全、 云安全、 业务安全、 数据安全、 安全管理、 安全服务等多个安全方向, 且行业解决方案涵 盖了政企、 金融、 医疗、 教育、 交通等多个领域。 帮助客户从技术和管理角度加强网络安全建设, 提升企业竞争力, 创造更大价值。 腾讯安全���� 青藤云安全以主机安全为核心, 采用自适应安全架构, 将预测、 防御、 监控和响应能力融为一体, 构建基于主机端的安全�����态势感知平台, 为用户提供持续的安全监控、 分析和快速响应能力, 帮助 用户在公有云、 私有云、 混合云、 物理机、 虚拟机等多样化的业务环境下,
4、实现安全的统一策略管 理, 有效预测风险, 精准感知威胁, 提升响应效率, 全方位保护企业数字资产的安全与业务的高 效开展。 青藤云安全 中国产业互联网发展联盟 中国产业互联网发展联盟是从事产业互联网融合创新的企业、 科研院所、 大学院校和协会联盟 自愿组成的全国性非营利社会组织。 该联盟设立的宗������旨是基于 “平等自愿、 优势互补、 资源共享、 共同发展” 的原则, 围绕工信部的中心工作, 整合联盟内企业、 行业内企业的专家、 技术、 服务、 平 台等资源, 发挥 “官产学研资” 协同优势, 促进产业互联网新应用、 新模式、 新业态�����的创新发展, 推 动传统产业的转型升级。 腾讯高度重视标准化研究
5、与应用的工作, 为适应外部环境的挑战, 满足内部产品与服务的需求, 于2016年起组建专业的标准化团队, 以 “通过标准化助力互联网服务提质增效 “为使命, 以” 立足 战略、 聚焦业务、 开放生态 “为原则, 专注于跟踪政策标准、 获取资质认证、 参与标准研究、 牵头标 准制定等方面工作, 助力业务发展、 体现责任担当、 推动行业共识。 腾讯标准 腾讯安全依托 20 年多业务安全运营及黑灰产����对抗经验, 凭借行业顶尖安全专家、 最完备安全大 数据及 AI 技术积累, 提供紧贴业务需要的安全最佳实践, 构建了一套自适应的闭环安全防护体 系, 包含基础安全防护体系, 安全运营中心、 业务安全服务体
6、系等, 其产品矩阵涉及终端安全、 网 络安全、 云安全、 业务安全、 数据安全、 安全管理、 安全服务等多个��������安全方向, 且行业解决方案涵 盖了政企、 金融、 医疗、 教育、 交通等多个领域。 帮助客户从技术和管理角度加强网络安全建设, 提升企业竞争力, 创造更大价值。 腾讯安全 青藤云安全以主机安全为核心, 采用自适应安全架构, 将预测、������ 防御、 监控和响应能力融为一体, 构建基于主机端的安全态势感知平台, 为用户提供持续的安全监控、 分析和快速响应能力, 帮助 用户在公有云、 私有云、 混合云、 物理机、 虚拟机等多样化的业务环境下, 实现安全的统一策略管 理, 有效预测风险, 精准感知威胁
7、, 提升响应效率, 全方位保护企业数字资产的安全与业务的高 效开展。 青藤云安全 01 CONTENTS 02 执行摘要 EXECUTIVE SUMMARY 主机安全状态整体概览 主机资产概况04 执行摘要01 04 不同主机操������作系统的安装情况 05 特殊账号清点分析 06 Top5 Web服务应用分布 07 Top10 Web应用框架类型 08 Top5数据库应用的分布 主机风险总览09 09 TOP10主机漏洞攻击 11 主机高危端口的开放情况 12 主机软件弱密码盘点 13 主机账号危险程度分析 13 补丁修复状况分析 14 不同行业感染病毒类型分布情况 主机入侵分析15 15 常见主机
8、漏洞攻�����击类型 15 全国主机感染病毒木马的情况 17 Webshell恶意程序分析 18 暴力破解目标及时间分布 18 全国挖矿木马的感染情况 21 勒索病毒情况 主机合规分析21 21 主机账号的合规分析 23 主机应用合规分析 26 主机系统合规分析 OVERVIEW OF WORKLOAD SECURITY STATUS 杨志锋 中国产业互联网发展联盟秘书长 伴随着新冠病毒在全球的蔓延, 全世界人民都将经历一段 “与毒共舞” 的特 殊时期。 由此带来的在线活动激增, 既带动了产业互联网的深入发展, 也为 一些隐秘活动提供了可趁之机。 在可见的未来, 无论计算的商业形态如何变化, 主机安全
9、仍将是产业互联网 时代线上 “防疫” 的根本。 产业互联网的发展之路能走多远, 主要取决于我们 能否从线下的疫情吸取教训, 为主机安全运行提供应急使用的 “口罩和防护 服” , 并依靠 “疫苗和特效药” 取得最终的胜利。 衷心希望这本主机安全报告的发布, 能化作产业互联网安全发展的哨音, 为 线上防疫提供 “救治������指南” , 帮助我们实现更加繁荣美好的线上生活。 黎巍 腾讯安全副总裁 腾讯云安全负责人 产业互联网时代, 大量的企业业务都将依托在云上, 以数据为载体的数字资 产也逐渐成为企业的核心资产。 与此同时, 黑客们也对这些核心资产虎视眈 眈。 数据攻击和窃取的事件越发频繁, 各类攻击手段也
10、层出不穷。 面对日益 严峻的网络安全形势, 企业需要建立强大的安全防御体系以不断增强对恶 意攻击的抵抗能力。 主机安全作为企业安全最后也是最重要的一道门, 需要 不断增强对恶意入侵检测的速度和准确率。 腾讯安全致力于携手合作伙伴, 将积累20多年的能力和经验开放, 为云上客户打造更加主动、 积极、 智慧的 安全体系。 张福 青藤云安全CEO 在整个安全体系保护的对象里, 主机就是皇冠上的那颗明珠。 随着5G、 物联 网、 工业互联网的大发展, 越来越多的数据会被存储在主������机上, 越来越多的 业务会以数字化的形态运转在主机上, 越来越多的场景会打通虚拟和现实 的边界, 从线上映射到线下,������� 和人们的
11、生活息息相关。 因此, 对主机的保护将 会变得越来越重要。 在未来, 安全行业必须解决 “最后一公里” 的问题, 安全 的核心战场必然会从网络边界向内转移到主机。 如何做好主机安全? 如何应 对变幻莫测的攻击技术? 2019年主机端都遭遇到哪些挑战? 希望这本详实的 2019中国主机安全服务报告 能带给大家一些答案。 01 CONTENTS 02 执行摘要����� EXECUTIVE SUMMARY 主机安全状态整体概览 主机资产概况04 执行摘要01 04 不同主机操作系统的安装情况 05 特殊账号清点分析 06 Top5 Web服务应用分布 07 Top10 Web应用框架类型 ������08 Top5数据
12、库应用的分布 主机风险总览09 09 TOP10主机漏洞攻击 11 主机高危端口的开放情况 12 主机软件弱密码盘点 13 主机账号危险程度分析 13 ������补丁修复状况分析 14 不同行业感染病毒类型分布情况 主机入侵分析15 15 常见主机漏洞攻击类型 15 全国主机感染病毒木马的情况 17 Webshell恶意程序分析 18 暴力破解目标及时间分布 18 全国挖矿木马的感染情况 21 勒索病�������毒情况 主机合规分析21 21 主机账号的合规分析 23 主机应用合规分析 26 主机系统合规分析 OVERVIEW OF WORKLOAD SECURITY STATUS 杨志锋 中国产业互联网发展联盟秘
13、书长 伴随着新冠病毒在全球的蔓延, 全世界人民都将经历一段 “与毒共舞” 的特 殊时期。 由此带来的在线活动激增, 既带动了产业互联网的深入发�������展, 也为 一些隐秘活动提供了可趁之������机。 在可见的未来, 无论计算的商业形态如何变化, 主机安全仍将是产业互联网 时代线上 “防疫” 的根本。 产业互联网的发展之路能走多远, 主要取决于我们 能否从线下的疫情吸取教训, 为主机安全运行提供应急使用的 “口罩和防护 服” , 并依靠 “疫苗和特效药” 取得最终的胜利。 衷心希望这本主机安全报告的发布, 能化作产业互联网安全发展的哨音, 为 线上防疫提供 “救治指南” , 帮助我们实现更加繁荣美好的线上生活。
14、 黎巍 腾讯安全副总裁 腾讯云安全负责人 产业互联网时代, 大量的企业业务都将依托在云上, 以数据为载体的数字资 产也逐渐成为企业的核心资产。 与此同时, 黑客们也对这些核心资产虎视眈 眈。 数据攻击和窃取的事件越发频繁, 各类攻击手段也层出不穷。 面对日益 严峻的网络安全形势, 企业需要建立强大的安全防御体系以不断增��������强对恶 意攻击的抵抗能力。 主机安全作为企业安全最后也是最重要的一道门, 需要 不断增强对恶意入侵检测的速度和准确率。 腾讯安全致力于携手合作伙伴, 将积累20多年的能力和经验开放, 为��������云上客户打造更加主动、 积极、 智慧的 安全体系。 张福 青藤云安全CEO 在整个安全体系保护
15、的对象里, 主机就是皇冠上的那颗明珠。 随着5G、 物联 网、 工业互联网的大发展, 越来����越多的数据会被存储在主机上, 越来越多的 业务会以数字化的形态运转在主机上, 越来越多的场景会打通虚拟和现实 的边界, 从线上映射到线下, 和人们的生活息息相关。 因此, 对主机的保护将 会变得越来越重要。 在未来, 安全行业必须解决 “最后一公里” 的问题, 安全 的核心战场必然会从网络边界向内转移到主机。 如何做好主机安全? 如何应 对变幻莫测的攻击技术? 2019年主机端都遭遇到哪些挑战? 希望这本详实的 2019中国主机安全服务报告 能带给大家一些答案。 30������ 级别1: 基础性的主机安全产品 31
16、 级别2: 以应用为核心的主机安全产品 32 级别3: 以检测响应为核心的主机安全产品 33 级别4: 以主动防御为核心的主机安全产品 33 级别5: 新形态下的主机安全产品 03 主机安全市场产品形态 PRODUCT FORM OF WORKLOAD SECURITY MARKET 持续检测是基础36 37 攻击持久化检测 39 提升权限检测 40 凭据获取检测 41 横向移动检测 4����1 命令和控制入侵的检测 快速响应是动力42 43 恶意挖矿事件响应 44 内网入侵事件响应 45 勒索病毒事件响应 45 网页挂马事件响应 全面适配是未来46 47 构建云原生的安全运营中�������心 49 容器安全解
17、决方案 51 云工作负载保护平台 04 主机安全产品技术分析 TECHNICAL ANALYSIS OF WORKLOAD SECURITY PRODUCTS 58 等保2.0下新一代主机安全实践 67 云等保安全合规要求 68 建设新基建趋势下的主机安全标准 05 主机安全领域法律法规 LAWS AND REGULATIONS ON WORKLOAD SECURITY 75 总结 77 参考文献07 总结 SUMMARY 06 主机安全建设实践指南 WORKLOAD SECUR������ITY CONSTRUCTION PRACTICE GUIDE 7��������0 制定主机安全计划 70 底层操作系统安全 71
������18、 主机运行软件安全 73 持续主机安全运维 30 级别1: 基础性的主机安全产品 31 级别2: 以应用为核心的主机安全产品 32 级别3: 以检测响应为核心的主机安全产品 33 级别4: 以主动防御为核心的主机安全产品 33 级别5: 新形态下的主机安全产品 03 主机安全市场产品形态 PRODUCT FORM OF WORKLOAD SECURITY MARKET 持续检测是基础36 37 攻击持久化检测 39 提升权限检测 40 凭据获取检测 41 横向移动检测 41 命令和控制入侵的检测 快速响应是动力42 43 恶意挖矿事件响应 44 内网入侵事件响应 45 勒索病毒事件响应 45
19、网页挂马事件响应 全面适配是未来46 47 构建云原生的安全运营中心 49 容器安全解决方案 51 云工作负载保护平台 04 主机安全产品技术分析 TECHNICAL������ ANALYSIS OF WORKLOAD SECURITY PRODUCTS 58 等保2.0下新一代主机安全实践 67 云等保安全合规要求 68 建设新基建趋势下的主机安全标准 05 主机安全领域法律法规 LAWS AND REGULATIONS ON WORKLOAD SECURITY 75 总结 77 参考文献07 总结 SUMMARY 06 主机安全建设实践指南 WORKLOAD SECURITY CONSTRUCTIO
20、N PRACTICE GUIDE 70 制定主机安全计划 70 底层操作系统安全 71 主机运行软件安全 73 持续主机安全运维 EXECUTIVE SUMMARY 组织机构应当采取合适的主机管理机制, 包括对主机资产的识别, 以及确保信息系统资源的机密性、 完整 性和可用性。 建议采取下列措施: 组织机构应该确保主机操作系统的部署、 配置和管理满足安全需求。 保护主机安全性的第一步是保护底 层操作系统。 如果底层服务器的操作系统配置得当, 就可以避免许多安全问题。 使用安全配置指南或检查 列表可以帮助管理�����员有效地保护服务器。 组织机构需要确保主机上安装的应用能够满足安全要求。 最重要的原则是
21、安装最小数量的所需服务, 并 通过打补丁或升级软件来消除漏洞。 保护服务器应用程序通常包括以下步骤: 主机可以为内部和外部用户提供各种�����服务, 也可以用来存储或者处理组织机构的敏感信息, 根据提供的 不同服务可以分为Web服务器、 电子邮件服务器、 数据库服务器、 基础设施管理服务器、 文件服务器等。 由于主机上承载的数据和服务价值巨大, 因而成为黑客最喜欢的攻击目标。 以下是几种常见的主机威胁 示例: 执������行摘要 攻击者利用主机软件或其底层操作系统中的漏洞来获得未经授权的访问。A. 针对服务器的DoS攻击, 阻止有效用户使用其服务。B. 截获在服务器和客户端之间传输的未加密或弱加密的敏感信息。C
22、. 攻击者通过失陷主机获取网络中其它未������经授权的资源访问。D. 本报告旨在帮助各组织机构更好地保护主机安全, 包括如何确保底层操作系统安全、 软件配置安全、 以及 通过补丁、 安全测试、 日志监控以及操作系统文件备份来维护安全配置。 目前, 主机安全的技术正在从最初的资产探测、 杀毒等, 开始向检测响应、 隔离控制、 行为检测等方向发 展, 未来一定会朝着主动检测、 快速响应、 安全适配三个方向进化。 例如, 基于当下最热门的ATT ; ; ; server listen 80; server_name ; root /usr/share/nginx/html; location / add_h
23、eader Access-Control-Allow-Origin $corsHost; (不合规情况) (次数) 3)Tomcat 404错误页面重定向配置检查 tomcat 404错误页面重定向配置检查,查看配置/conf/web.xml文件, 使用x����ml API解析配置文件检查 error-page节点下的error-code的值为404的项, 如果对应的location的值有配置, 并且不为和nil, 则说 明配置没有问题。 修复建������议: 在配置文件中配置404错误页面。 正确配置示例: 404 /noFile.htm。 4)nginx 是否开启同源策略和referer检测 如果Ngin
24、x没有开启同源策略防护, 很可能遭受点击劫持、 盗链等恶意攻击。 修复建议: 在配置文件中配�������置X-Frame-Options 如果不允许跨域访问, 则删除Access-Control-Allow-Origin配置 如果允许单个域名跨域访问, 则设置Access-Control-Allow-Origin值为可信域名。 如果允许多个域名跨域访问, 建议使用下例方法 (map中域名为可信域名) : 在nginx.conf里面找到server项, 并在��������里面添加如下配置: WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 24 23 WORKLOAD S
25、ECURITY SERVICE REPORT OF CHINAQINGTENG 1)NTP服务存在反射放大DOS攻击漏洞 NTP是�������用UDP传输的, 所以可以伪造源地址。 并且, 在NTP协议中有一类查询指令, 用短小的指令即可令 服务器返回很长的信息。 网络上一般NTP服务器都有很大的带宽, 攻击者可能只需要1Mbps的上传带宽 就可以欺骗NTP服务器, 给目标服务器带来成百上千Mbps的攻击流量, 从而造成拒绝服务攻击。 如果攻 击者同时向多台NTP服务器发送这种查�����询指令, 则可以造成分布式拒绝服务攻击。 修复建议: 将NTP版本更新到4.2.7p26以上, ntpd-4.2.7p26版本后
26、,“monlist” 功能已经被禁止, 取而代之 的是 “mrulist” 功能, 使用mode6控制报文, 并且通过实现握手过程来阻止对第三方主机的放大攻击。 2)Tomcat 5xx错误页面重定向配置检查 5xx页面未配置时, 攻击者可以利用一���些漏洞, 如struts2远程命令执行漏洞, 通过报错回显的方式获取目 标的数据。 配置5xx后, 可以为此类攻击制造障碍, 并且不易被攻击者发现和验证漏洞的存在。 检测方法: 使用xml API解析tomcat配置文件, 检查error-page节点下的error-code的值为5xx (可以为 500、 501等) 的项, 对应的location
27、的值是否配置, 如果有配置并且值不为和nil, 如果有一个5xx配置, 则 说明没有漏洞。 修复建议: 在配置文件中添加配置500错误页面。 正确配置示例: 500 /noFile.htm。 主机服务�������器上承载了非常多的应用, 如果应用中存在不合规的情况, 例如配置错误、 未修补的漏洞补丁 等。 那么黑客通过应用就能进入主机系统内部, 这将带来极大风险。 主机应用合规分析 图2-27: 常见应用的配置风险 NTP服务存在反射放大DOS攻击漏洞 TOMCAT 5XX错误页面重定向配置检查 TOMCAT运行权限检查 NGINX是否开启同源策略和REFERER检测 TOMCAT 404错误页面重定向配
28、置检查 NGINX未开启同源策略和REFERER检测 REDIS服务存在CONFIG命令配置未被修改 SSH服务用户HOME目录中存在未加密私钥 0 50000 100000 150000 200000 250000 主机应用合规分析 map $http_origin $corsHost default 0; ; ; ; server listen 80; server_name ; root /usr/share/nginx/html; location / add_header Access-����Control-Allow-Origin $corsHost; (不合规情况) (次数) 3)To
29、mcat 404错误页面重定向配置检查 tomcat 404错误页面重定向配置检查����,查看配置/conf/web.xml文件, 使用xml API解析配置文件检查 error-page节点下的error-code的值为404的项, 如果对应的location的值有配置, 并且不为和nil, 则说 明配置没有问题。 修复建议: 在配置文件中配置404错误页面。 正确配置示例: 404 /noFile.htm。 4)nginx 是否开启同源策略和referer检测 如果Nginx没有开启同源策略防护, 很可能遭受点击劫持、 盗链等恶意攻击。 修复建议: 在配置文件中配置X-Frame-Options
30、 如果不允许跨域访问, 则删除Access-Control-Allow-Origin配置 如果允许单个域名跨域访问, 则设置Access-Control-Allow-Origin值为可信域名。 如果允许多个域名跨域访问, 建议使用下例方法 (map中域名为可信域名) : 在n������ginx.conf里面找到server项, 并在里面添加如下配置: WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 24 23 WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 如果没有对主机底层的操作系统进行适当配置,
31、�����就会引发许多安全问题。 建议安全运维人员能够谨慎配 置主机来满足组织机构的安全需求, 并能够�����根据需求重新配置。 通过研究分析样本数据, 发现GRUB密码 设置、 UMASK值异常、 未开启SYN COOKIE这三类问题是所有主机系统风险中所占比例最多的三类。 主机系统合规分析 5)SSH服务用户home目录中存在未加密私钥 默认情况下, 在用户的home目录中存储着未加密私钥, 一旦该服务器被入侵, 则可能导致该私钥泄露。 私钥是登录服务器的重要凭证, 如果私钥被攻击者利用, 可通过私钥进行ssh登录认证获取系统权限, 带 来不可预知的高危风险。 修复建议: 删除对应的私钥, 若已经使用过该私
32、钥对应的公钥进行登录, 则应注意更换所有使用该公钥的 主机的密钥。 6)Tomcat运行权限检查 Tomcat以root权限运行时, 应用程序 (如Struts2、 jsp webshell) 也拥有了root权限。 因此, 通过该漏洞, 可 以直接以root用户身份控制主机。 Tom������cat运行权限检查, 检查tomcat运行用户的uid或gid是否为0。 修复建议: 将tomcat运行账号切换至普通用户以及普通用户组。 7)Redis服务存在CONFIG命令配置未被修改 若未修改/root/redis/redis.conf中默认的rename-command CONFIG�����设置项, 攻击者可使
33、用CONFIG命 令对Redis的数据库文件位置进行修改和变更。 通过在数据库中插入攻击者的ssh公钥信息, 并执行 bgsave命令可以将带有公钥信息的数据库文件写入被攻击者使用CONFIG命令指定的磁盘位置。 CONFIG 命令未做修改的情况下, 攻击者可以很方便地完成这一攻击过程并最终获取操作系�����统权限。 修复方法: 将Redis配置文件中rename-command CONFIG 配置项更改为其他内容。 8)nginx 是否开启同源策略和referer检测的安全建议: 如果Nginx没有开启同源策略防护, 很可能遭受点击劫持、 盗链等恶意攻击。 修复建议: 在配置文件中配置X-Frame
34、-Options 如果不允许跨域访问, 则删除Access-Control-Allow-Origin配置 如果允许单个域名跨域访问, 则设置Access-Control-Allow-Origin值为可信域名。 如果允许多个域名跨域访问, 建议使用下例方法 (map中域名为可信域名) : 在nginx.conf里面找到server项, 并在里面添加如下配置 ; server listen 80; server_name ; root /usr/share/nginx/html; l�������ocation / add_header Access-Control-Allow-Origin $corsHost
35、; map $http_origin $corsHost default 0; ; ; 图2-28: 主机系统不合规情况分析 GRUB密码设置 UMASK值异常 路由转发功能开启 未开启SYN COOKIE SSH支持存在安全漏洞的V1版本 VARSPOOLCRON目录所有者、 组所有者读写执行权限 ETCSHADOW权限检查 0 50000 100000 15000����0 200000 250000 (不合规情况) (次数) WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 26 25 WORKLOAD SECURITY SERVICE REPO
36、RT OF CHINAQINGTENG 如果没有对主机底层的操作系统进行适当配置, 就会引发许多安全问题。 建议安全运维人员能够谨慎配 置主机来满足组织机构的安全需求, 并能够根据需求重新配置。 通过研究分析样本数据, 发现GRUB密码 设置、 UMASK值异常、 未开启SYN COOKIE这三类问题是所有主机系统风险中所占比例最多的三类。 主机系统合规分析 5)SSH服务用户home目录中存在未加密私钥 默认情况下, 在用户的home目录中存储着未加密私�������钥, 一旦该服务器被入侵, 则可能导致该私钥泄露。 私钥是登录服务器的重要凭证, 如果私钥被攻击者利用, 可通过私钥进行ssh登录认证获取系
37、统权限, 带 来不可预知的高危风险。 修复建议: 删除对应的私钥, 若已经使用过该私钥对应的公钥进行登录, 则������应注意更换所有使用该公钥的 主机的密钥。 6)Tomcat运行权限检查 Tomcat以root权限运行时, 应用程序 (如Struts2、 jsp webshell) 也拥有了root权限。 因此, 通过该漏洞, 可 以直接以ro�����ot用户身份控制主机。 Tomcat运行权限检查, 检查tomcat运行用户的uid或gid是否为0。 修复建议: 将tomcat运行账号切换至普通用户以及普通用户组。 7)Redis服务存在CONFIG命令配置未被修改 若未修改/root/redis/red
38、i�����s.conf中默认的rename-command CONFIG设置项, 攻击者可使用CONFIG命 令对Redis的数据库文件位置进行修改和变更。 通过在数据库中插入攻击者的ssh公钥信息, 并执行 bgsave命令可以将带有公钥信息的数据库文件写入被攻击者使用CONFIG命令指定的磁盘位置。 CONFIG 命令未做修改的情况下, 攻击者可以很方便地完成这一攻击过程并最终获取操作系统权限。 修复方法: 将Redis配置文件中rename-command CONFIG 配置项更改为其他内容。 8)nginx 是否开启同源策略和referer检测的安全建议: 如果Nginx没有开启同源策略防护,
39、 很可能遭受点击劫持、 盗链等恶意攻击。 修复建议: 在配置文件中配置X-Frame-Options 如果不允许跨域访问, 则删除Access-Control-Allow-Origin配������置 如果允许单个域名跨域访问, 则设置Access-Control-Allow-Origin值为可信域名。 如果允许多个域名跨域访问, 建议使用下例方法 (map中域名为可信域名) : 在nginx.conf里面找到server项, 并在里面添加如下配置 ; server listen 80; server_name ; root /usr/shar��������e/nginx/html; location / add_he
40、��������ader Access-Control-Allow-Origin $corsHost; map $http_origin $corsHost default 0; ; ; 图2-28: 主机系统不合规情况分析 GRUB密码设置 UMASK值异常 路由转发功能开启 未开启SYN COOKIE SSH支持存在安全漏洞的V1版本 VARSPOOLCRON目录所有者、 组所有者读写执行权限 ETCSHADOW权限检查 0 50000 100000 150000 200000 250000 (不合规情�������况) (次数) WORKLOAD SECURITY SERVICE REPORT OF CHINAQIN
41、GTENG 26 25 WORKLOAD SE������CURITY SERVICE REPORT OF CHINAQINGTENG 1)grub 密码设置 如果不设置 grub, 攻击者可通过 grub 对系统账户的密码进行修改。 检测 /etc/grub.conf 或 /etc/grub.d/40_custom 是否存在 password 字段, 建议将 grub 设置密码。 2)umask 值异常 检测 /etc/profi le、 /etc/login.defs、 /root/.bashrc、 /root/.bash_profi le、 /root/.cshrc、 /root/.tcshrc、������
42、/etc/bashrc、 /etc/csh.cshrc、 /etc/sysconfi g/init 文件的 umask 值是否正常。 检测配置文件 umask 值是否为期望值。 /etc��������/sysconfi g/init 期望值至少为 022, 其他配置文件期望值为 077。 3) 未开启 SYN Cookie TCP SYN洪水攻击通过建立大量的半开TCP连接耗尽主机的资源。 许多Linux发行版都能防止发生TCP SYN洪水攻击, 但是这项保护功能默认是被禁用的。 设置 /etc/sysctl.conf 文件中的 tcp_syncookies 选项为整数 1 可以保护主机免受 TCP SYN
43、 洪水攻击。 4)SSH 支持存在安全漏洞的 v1 版本 安全 shell(SSH)协议 v1 有许多安全问题都是由 SSH 协议 v2 解决。此外,.sshd_confi g 设置为 2 会强制使用 SSH V2。SSH v1 采用 DES、 3D�������ES、 Bl������owfi sh 和 RC4 等对称加密算法可保护数据安全传输, 而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。 手动将 Protocol 2 添加到 /etc/ssh/sshd_confi g 文件中。 5)/etc/gshadow 权限检查 /etc/gshadow 文件的 ACL 应当设置为 400。用户 root
44、,用户组 root/shadow������ 。 /etc/gshadow 文件包含组账户的隐秘信息(例如加密的组密码和组的管理员信息) 。 如果 /etc/gshadow 文件保护不当,可能导致服务器被恶意攻击、利用。攻击者可以使用该文件篡改 或者利用组管理员账户,或者使用字典攻击破解加密过后的密码。 可执行如下命令进行修复: chmod 400 /etc/gshadow chown ��������root:root(shadow) /etc/gshadow 6) 路由转发功能开启 启用网络接口之间的数据包转发创建一个服务器的路由功能。 该功能可以被滥用来发起攻击或进行进 一步攻击, 并能创造威胁的高度载体。 如果检
45、查失败, 路由本身没有明确要求, 会把 net.ipv4.ip_forward 的值更改为 0 来明确禁用 IP 路由。 服务器有面向 Internet 和������内部私人的两个接口, 这一点就尤其重要。 下面是命令示例, 你可能需要自定义您的环境: 对 /etc/sysctl.conf 手动配置 net.ipv4.ip_forward=0 7)/v������ar/spool/cron 目录所有者、组所有者读写执行权限 如果恶意用户拥有在/var/spool/cron目录创建一个文件的权限, 他们可以轻松地在/var/spool/cron目 录部署持久或预定恶意软件。 /var/spool/cron目录的目前权
�������46、限应为700。 /var/spool/cron目录拥有者应 该为root。 /var/spool/cron应该具有root用户组所有����权。 可执行如下命令进行修复: chown root:root /var/spool/cron chmod 700 /var/spool/cron WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 28 27 WORKLOAD SECURITY SERVICE REPORT OF CHINAQINGTENG 1)grub 密码设置 如果不设置 grub, 攻击者可通过 grub 对系统账户的密码进行修改。 检测 /
47、etc/grub.conf 或 /etc/grub.d/40_custom 是否存在 password 字段, 建议将 grub 设置密码。 2)umask 值异常 检测 /etc/profi le、 /etc/login.defs、 /root/.bashrc、 /root/.bash_profi le、 /root/.cshrc、 /root/.tcshrc、 /etc�����/bashrc、 /etc/csh.cshrc、 /etc/sysconfi g/init 文件的 umask 值是否正常。 检测配置文件 umask 值是否为期望值。 /etc/sysconfi g/init 期望值至少为 02������2, 其他配置文件期望值为 077。 3) 未开启 SYN Cookie TCP SYN洪水攻击通过建立大量的半开TCP连接耗尽主机的资源。 许多Linux发行版都能防止发生TCP SYN洪水攻击, 但是这项保护功能默认是被禁用的。 设置 /etc/sysctl.conf 文件中的 tcp_syncooki
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
