在这分享一波昨天公司服务器漏扫出来的一些漏洞及解决方法:
一、Redis 未授权访问漏洞
描述:以上两个漏洞主要是因为redis安全配置不严谨,应用层面权限过于开放,认证方式没有配置
解决方案:
方案:修改redis配置文件添加认证密码、绑定IP(或者防火墙添加规则,对指定IP开放redis服务端口)
二、检测到远端rpc.statd、RPCBIND/PORTMAP服务正在运行中
描述:以上两个漏洞主要是因为一些旧版本的rpc服务存在安全漏洞,攻击者可以通过rpc.statd服务操作服务器(恐怖的是以root用户运行,如果送你一颗rm -rf /*我相信会瞬间爆炸的),
解决方案:
1. 获取官方最新稳定版服务
2.如果不需要RPC服务可以进行关闭操作
3.通过防火墙禁止111端口访问
三、可通过HTTP获取远端WWW服务信息
描述:打开我的商城网页,审查代码,会发现有一些标头明显表名了我们的服务器和平台信息,存在安全风险,必须要隐藏
解决方案:
1.nginx配置文件添加以下(由开发给的解决方案)
# 隐藏版本号
server_tokens off;
2.其他貌似就应该修改网页的文件了,这个本人不是很懂,就不阐述了
四、允许Traceroute探测
描述:因为icmp协议没有进行过滤,使得所有类型的数据都可以进行传输
解决方案:
1.通过防火墙规则限制所有FORWARD ICMP(类型11)报文,也可以禁用ICMP所有类型报文
# ICMP-type 对应表参考以下网站
http://www.361way.com/icmp-type/1186.html
五、ICMP timestamp请求响应漏洞
描述:因为icmp协议没有进行过滤,使得所有类型的数据都可以进行传输
解决方案:
1.通过防火墙规则限制所有FORWARD ICMP(类型13)报文,也可以禁用ICMP所有类型报文
规则参考:
iptables -A FORWARD -p icmp --icmp-type 11 -j DROP # 禁用icmp 类型11报文
iptables -A FORWARD -p icmp --icmp-type 13 -j DROP # 禁用icmp 类型11报文
iptables -A FORWARD -p icmp -j DROP # 禁用icmp 类型所有报文