漏洞加固方案.docx
- 文档编号:2040465
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:36
- 大小:53.29KB
漏洞加固方案.docx
《漏洞加固方案.docx》由会员分享,可在线阅读,更多相关《漏洞加固方案.docx(36页珍藏版)》请在冰点文库上搜索。
1.MS15-034/CVE-2015-1635HTTP远程代码执行漏洞
1.1漏洞清单
序号
漏洞信息
影响范围
1
MS15-034/CVE-2015-1635HTTP远程代码执行漏洞
117.71.20.4
1.2加固方案
Windows6.1-KB3
042553-x64.msu安装此补丁即可,系统会重启
1.3回退方案
1、控制面板-添加删除程序,如下图右键删除程序即可
36/36
1.4加固结果
未加固,需要搭建并行替换系统后方可加固
2.Redis未授权访问漏洞
2.1漏洞清单
序号
漏洞信息
影响范围
1
Redis未授权访问漏洞【原理扫描】
Redis配置不当可直接导致服务器被控制【原理扫描】
117.71.20.14
117.71.20.111
2.2加固方案
找到cd/usr/local/etc/中的redis.conf,用vi编辑redis.conf,在redis.conf中找到“requirepass”字段,取消注释并在后面填上需要的密码即可;需要重启系统才能生效;
注:
因为是主从设备请联系redis搭建人员确认加固方案风险
2.3回退方案
找到cd/usr/local/etc/中的redis.conf,用vi编辑redis.conf,在redis.conf中找到“requirepass”字段,注释即可;需要重启系统才能生效
注:
因为是主从设备请联系redis搭建人员确认加固方案风险
2.4加固结果
已经加固
3.PostgreSQL数据库空密码漏洞
3.1漏洞清单
序号
漏洞信息
影响范围
1
PostgreSQL数据库空密码漏洞
117.71.20.100
3.2加固方案
如psql的默认用户为postgres,1、使用su–postgres进入postgres用户模式,2、使用psql –l查看用户,3、使用psql进入数据库输
入ALTERUSERpostgresWITHPASSWORD'复杂密码',再输入psql进入数据库输入select*frompg_shadow就能看见加过密的密码了。
3.3回退方案
如psql的默认用户为postgres,1、使用su–postgres进入postgres用户模式,2、使用psql–l查看用户,3、使用psql进入数据库输入ALTERUSERpostgresWITHPASSWORD紧靠的双引号啥都不输入,再输入psql进入数据库输入select*frompg_shadow就没有密码了。
3.4加固结果
已经加固
4.MySQL/MariaDBServer用户存在弱口令
4.1漏洞清单
序号
漏洞信息
影响范围
1
MySQL/MariaDBServer用户存在弱口令
117.71.20.104
117.71.20.106
117.71.20.24
4.2加固方案
>mysql-uroot[password]
mysql>UPDATEuserSETPassword=PASSWORD('[new_password]')WHEREuser='vulnerable_user';mysql>FLUSHPRIVILEGES。
4.3回退方案
>mysql-uroot[password]
mysql>UPDATEuserSETPassword=PASSWORD('[不设置密码]')WHEREuser='vulnerable_user';mysql>FLUSHPRIVILEGES。
4.4加固结果
已经加固
5.猜测出远程MySQL数据库服务存在可登录的用户名口令
5.1漏洞清单
序号
漏洞信息
影响范围
117.71.20.104
1
猜测出远程MySQL数据库服务存在可登录的用户名口令
117.71.20.106
117.71.20.24
5.2加固方案
1.登录mysql服务器:
mysql-uroot–p
2.选择MySQL数据库
mysql>usemysql;
3.修改nmuser密码
mysql>updateusersetpassword=PASSWORD(“NEWPASSWORD”)whereUser=’nmuser’;
4.重置权限
mysql>flushprivileges;mysql>quit
5.3回退方案
1.登录mysql服务器:
mysql-uroot–p
2.选择MySQL数据库
mysql>usemysql;
3.修改nmuser密码
mysql>updateusersetpassword=PASSWORD(“NEWPASSWORD”)whereUser=’nmuser’;
4.重置权限
mysql>flushprivileges;mysql>quit
5.4加固结果
已经加固
6.vsftpdFTPServer'ls.c'远程拒绝服务漏洞(CVE-2011-0762)
6.1漏洞清单
序号
漏洞信息
影响范围
1
vsftpdFTPServer'ls.c'远程拒绝服务漏洞(CVE-2011-0762)
134.82.17.242
6.2加固方案
1、下载:
软件名为vsftpd-3.0.2.tar.gz的安装包
2、编译源代码:
tarxvzfvsftpd-3.0.2.tar.gz(解压,并进入解压后目录vsftpd-3.0.2)make
makeinstall
3、安装配置:
cpvsftpd.conf/etc
cpvsftpd-3.0.2/vsftpd.pam/etc/pam.d/ftp(用户身份识别)
4、编辑配置:
用vi打开vsftpd.conf,默认的不用管他了
直接在最后一行加上Listen=YES(独立的VSFTPD服务器)
Anonymous=yes用#注释掉
5、启动服务:
/usr/local/bin/vsftpd&
用netstat-tnl查看,如果有21端口证明已经安装配置成功这个时候已经能用FTP,但不能使用匿名访问。
6、本地用户名访问:
mkdir/var/ftp
chownzc/var/ftpchowndmp/var/ftpchownwz/var/ftpchmodog-w/var/ftp
这样就能匿名访问。
如果还不清楚的话可以参考安装帮助moreINSTALL
7、关闭匿名访问
配置ftp的验证方式 #vim/etc/pam.d/vsftpd将其改为:
修改主配置文件,关闭匿名用户将下面的语句加入即可:
Anonymous_enable=no
*取消根目录的写权限:
#chownroot~ftp&&chmod0555~ftp
8、开机自启动
chkconfigvsftpd--level3off
或者直接修改/etc/xinetd.d/vsftpd文件,把disable=no改成disable=yes就行了!
用vi打开、etc/rc.local在里面加入servicexinetdstart(stop)/usr/local/bin/vsftpd&即可。
6.3回退方案
复制原有的vsftpd配置和数据到其他的目录,以便及时恢复
6.4加固结果
已经加固
7.apache漏洞
7.1漏洞清单
序号
漏洞信息
影响范围
1
ApacheAPR-utilapr_brigade_split_line函数远程拒绝服务漏洞
Apacheexpatbig2_toUtf8()函数XML文件解析拒绝服务漏洞
ApacheExpatUTF-8字符XML解析远程拒绝服务漏洞(CVE-2009-3720)ApacheHTTPServer"mod_proxy"反向代理安全限制绕过漏洞
ApacheHTTPServer“ap_pregsub()”函数本地权限提升漏洞
ApacheHTTPServer“httpOnly”Cookie信息泄露漏洞(CVE-2012-0053)ApacheHTTPServerbalancer_handler函数跨站脚本漏洞
ApacheHTTPServer'LD_LIBRARY_PATH'不安全库加载任意代码执行漏洞
ApacheHTTPServermod_cache和mod_dav模块远程拒绝服务漏洞(CVE-2010-1452)ApacheHTTPServermod_headers模块权限许可和访问控制漏洞(CVE-2013-5704)
117.71.20.125
ApacheHTTPServermod_proxyReverse代理模式安全限制绕过漏洞
ApacheHTTPServermod_proxy_ajp拒绝服务漏洞
ApacheHTTPServermod_proxy_ajp模块拒绝服务漏洞
ApacheHTTPServermod_proxy反向代理模式安全限制绕过漏洞ApacheHTTPServer'mod_status'远程代码执行漏洞(CVE-2014-0226)ApacheHTTPServer'protocol.c'远程拒绝服务漏洞
ApacheHTTPServerScoreboard本地安全限制绕过漏洞ApacheHTTPServer多个拒绝服务漏洞(CVE-2013-6438)ApacheHTTPServer多个拒绝服务漏洞(CVE-2014-0098)
ApacheHTTPServer多个模块主机名和URI跨站脚本漏洞(CVE-2012-3499)ApacheHTTPServer日志内终端转义序列命令注入漏洞(CVE-2013-1862)ApacheHTTPServer远程拒绝服务漏洞(CVE-2013-1896)
ApacheHTTPServer远程拒绝服务漏洞(CVE-2014-0118)ApacheHTTPServer远程拒绝服务漏洞(CVE-2014-0231)Apachemod_proxy_http模块超时处理信息泄露漏洞
ApachePortableRuntime和HTTPServer'fnmatch()'栈消耗漏洞(CVE-2011-0419)
7.2加固方案
一、使用cp或者mv移走/usr/local/apache2文件夹,或者采用其他数据备份的方式
二、使用rpm–qahttpd查看httpd版本,在使用rpm–qa|grephttpd显示httpd相关文件,接着使用rpm–eXXX删除显示的httpd相关文件和依赖文件
1、安装:
按顺序依次安装软件名的安装包三、1解压安装apr-1.5.2.tar.gztarzxvfapr-1.5.2.tar.gz
cdapr-1.5.2
./configuremake
makeinstall
2解压安装apr-util-1.5.4.tar.gztarzxvfapr-util-1.5.4.tar.gz
cdapr-util-1.5.4
./configure--with-apr=/usr/local/aprmake
makeinstall
3解压安装pcre2-10.20.tar.gz
tarzxvfpcre2-10.20.tar.gzcdpcre2-10.20
./configuremake
makeinstall
4安装pcre-devel-7.8-7.el6.x86_64.rpmyuminstallpcre-devel-7.8-7.el6.x86_64.rpm
5解压安装httpd-2.4.20.tar.gztarzxvfhttpd-2.4.20.tar.gz
cdhttpd-2.4.20
./configuremake
makeinstall
6启动apache服务
[root@localhostbin]#/usr/local/apache2/bin/apachectlstart
AH00558:
httpd:
Couldnotreliablydeterminetheserver'sfullyqualifieddomainname,usinglocalhost.localdomain.Setthe'ServerName'directivegloballytosuppressthismessage
httpd(pid7861)alreadyrunning
在浏览器输入127.0.0.1会出现“Itworks!
”说明更新成功,然后再根据前配置配置/apache2/conf/里面的httpd.conf即可
7.3回退方案
一、使用rpm–qahttpd查看httpd版本,在使用rpm–qa|grephttpd显示httpd相关文件,接着使用rpm–eXXX删除显示的httpd相关文件和依赖文件
二、使用cp或者mv把之前备份文件考回/usr/local/文件夹,或者采用其他方式恢复
7.4加固结果
已经加固
8.apachetomcat漏洞
8.1漏洞清单
序号
漏洞信息
影响范围
1
ApacheTomcatSecurityManager绕过漏洞(CVE-2014-7810)ApacheTomcat安全漏洞(CVE-2014-0227)
ApacheTomcat拒绝服务漏洞(CVE-2014-0230)
117.71.20.106
117.71.20.24
8.2加固方案
一、使用cp或者mv移走/usr/local/apachetomcat文件夹,或者采用其他数据备份的方式
1、安装的安装包
二、1解压安装apache-tomcat-6.0.45.tar.gz
mvapache-tomcat-6.0.45/usr/local //将解压后的apache-tomcat-6.0.45目录移动到/usr/local目录,特别说明,一般的安装文件都放到/usr/local目录下。
cd/usr/local
cdapache-tomcat-6.0.45/bin
shstartup.sh //启动apache-tomcat服务
打开IE浏览器,输入http:
//127.0.0.1:
8080打开tomcat主页更新成功。
8.3回退方案
使用cp或者mv把之前备份文件考回/usr/local/文件夹,或者采用其他方式恢复
8.4加固结果
已经加固
9.openssh漏洞
9.1漏洞清单
序号
漏洞信息
影响范围
OpenSSHglob表达式拒绝服务漏洞(CVE-2010-4755)
61.191.46.136
OpenSSHJ-PAKE授权问题漏洞(CVE-2010-4478)
117.71.20.23
OpensshMaxAuthTries限制绕过漏洞(CVE-2015-5600)
117.71.20.7
1
OpenSSHroaming_common.c堆缓冲区溢出漏洞(CVE-2016-0778)
117.71.20.8
OpenSSHsshdmm_answer_pam_free_ctx释放后重利用漏洞(CVE-2015-6564)
61.191.46.136
OpenSSHsshd权限许可和访问控制漏洞(CVE-2015-6565)
117.71.20.114
OpenSSH'x11_open_helper()'函数安全限制绕过漏洞(CVE-2015-5352)
117.71.20.112
OpenSSH拒绝服务漏洞(CVE-2016-1907)
117.71.20.119
OpenSSH默认服务器配置拒绝服务漏洞(CVE-2010-5107)
117.71.20.116
PortableOpenSSH'ssh-keysign'本地未授权访问漏洞
117.71.20.113
117.71.20.105
117.71.20.14
117.71.20.110
117.71.20.118
117.71.20.109
117.71.20.108
117.71.20.23
117.71.20.107
117.71.20.102
117.71.20.13
117.71.20.11
117.71.20.117
117.71.20.101
117.71.20.115
117.71.20.12
117.71.20.6
117.71.20.111
117.71.20.10
117.71.20.103
117.71.20.104
117.71.20.106
117.71.20.24
61.191.46.136
117.71.20.23
117.71.20.12
117.71.20.10
9.2加固方案
第一步准备安装包
1.1、确定操作系统
uname-a
lsb_release-a(suse)cat/etc/issue(redhat)
1.2、将所需安装包上传到服务器
zlib-1.2.8.tar.gzopenssl-1.0.1p.tar.gzopenssh-7.2p2.tar.gz
相关下载:
www.openssl.org、www.openssh.org、、
//先把所有安装文件上传服务器,再卸载ssh,要不文件上传非常麻烦,在系统镜像中找到gcc安装包一并上传,大部分make失败都是gcc未安装或者安装不全造成。
第二步准备好其他远程方式
2.1、此项可选择telnet或者vnc来进行远程操作
安装telnet服务,telnet安装rpm包对应操作系统ISO文件里面提取,建议不要跨操作系统版本安装,减少未知问题。
vi/etc/xinetd.d/ekrb5-telnetdisable=yes改成no。
servicexinetdrestart
vi/etc/securetty加入
pts/0pts/1pts/2pts/3
vi/etc/pam.d/login文件注释掉:
#auth [user_unknown=ignoresuccess=okignore=ignore#auth_err=diedefault=bad] pam_securetty.so
//以上步骤保证root用户可以telnet,保证后续远程配置正常进行。
第三步程序升级
3.1、停止SSHD服务
/sbin/servicesshdstop(要确保sshd服务停止)
3.2、备份启动脚本
cp/etc/init.d/sshd /root/
3.3、卸载系统里原有Openssh
rpm–qaopenssh //查询系统原安装的openssh包,全部卸载。
rpm-eopenssh--nodeps
rpm-eopenssh-server--nodepsrpm-eopenssh-clients--nodepsrpm-eopenssh-askpass
3.4、解压安装zlib包:
tar-zxvfzlib-1.2.8.tar.gz//首先安装zlib库,否则会报zlib.c错误无法进行cdzlib-1.2.8
./configure
make&&makeinstall
//yumlist|gerpzlib先查看是否已经安装,已安装跳过这一步。
无法编译安装,尝试安装如下
yuminstall-ygccg++gcc-c++make
yum-yinstallzlib-devel
3.5、解压安装openssl包:
tar-zxvfopenssl-1.0.1p.tar.gzcdopenssl-1.0.1p
./configsharedzlibmake
maketestmakeinstall
mv/usr/bin/openssl/usr/bin/openssl.OFF
mv/usr/include/openssl/usr/include/openssl.OFF
//该步骤可能提示无文件,忽略即可
ln-s/usr/local/ssl/bin/openssl/usr/bin/openssl
ln-s/usr/local/ssl/include/openssl/usr/include/openssl
//移走原先系统自带的openssl,将自己编译产生的新文件进行链接。
3.6、配置库文件搜索路径
echo"/usr/local/ssl/lib">>/etc/ld.so.conf
/sbin/ldconfig-v
opensslversion-a
OpenSSL1.0.1s19Mar2015
builton:
SatMar2104:
11:
472015platform:
linux-x86_64
options:
bn(64,64)rc4(8x,int)des(idx,cisc,16,int)idea(int)blowfish(idx)
compiler:
gcc-I.-I..-I../include-fPIC-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D_REENTRA
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 漏洞 加固 方案