01 漏洞描述
rsync是Linux/Unix下的一個遠程數據同步工具,可通過LAN/WAN快速同步多臺主機間的文件和目錄,默認運行在873端口。由於配置不當,導致任何人可未授權訪問rsync,上傳本地文件,下載服務器文件。
rsync未授權訪問帶來的危害主要有兩個:一是造成了嚴重的信息洩露;二是上傳腳本後門文件,遠程命令執行。
02 漏洞檢測
rsync未授權訪問漏洞只需使用rsync命令即可進行檢測。首先使用nmap或其他工具對目標服務器進行端口掃描,當檢測到目標服務器開放873端口後,使用rsync命令,查看是否能獲取到模塊名列表(需要同步的目錄),然後查看模塊內的文件,rsync未授權訪問漏洞的檢測就是如此簡單。
查看模塊名列表使用如下兩條命令之一,列出目標服務器的同步目錄:
rsync ip::
rsync rsync://ip:873
兩條命令都列出了目標服務器的同步目錄,在驗證的時候任意使用其中一條命令即可。
查看模塊文件獲取到目錄之後,只需在路徑後添加目錄名即可查看目錄中的文件。
到這裡,rsync未授權訪問漏洞就驗證成功了,之後的步驟不再贅述。
03 漏洞修復
更改rysnc默認配置文件/etc/rsyncd.conf,添加或修改參數:
訪問控制;設置host allow,限制允許訪問主機的IP。
權限控制;設置read only,將模塊設置成只讀。
訪問認證;設置auth、secrets,認證成功才能調用服務。
模塊隱藏;設置list,將模塊隱藏。
詳情可參考官方doc:https://rsync.samba.org/ftp/rsync/rsyncd.conf.html
閱讀更多 安全小白團 的文章