运维常见安全问题汇总及剖析 By 乌云

运维常见安全问题汇总及剖析 By 乌云

编辑

黄兴（文章整理）

嘉宾介绍

唐朝安全团队由乌云创建的安全研究团队，唐朝安全巡航产品的开发团队。首次提出以创建互联网生态平台的思路来解决企业所面临的互联网安全威胁。

注：文中提及的漏洞请访问（ http://wooyun.org ）搜索相关漏洞详情

前言

运维安全属于企业安全中非常重要的一环，不同于Web安全、移动安全或者业务安全，运维安全这个环节一旦出现问题，往往会导致非常严重的后果。

这是因为一方面，运维出现的安全漏洞自身危害比较严重。运维服务位于底层，涉及到服务器，网络设备，基础应用等，一旦出现安全问题，直接影响到企业的核心基础安全；

另一方面，一个运维漏洞的出现，通常反映了一个企业的安全规范、流程或者是这些规范、流程的执行出现了问题，这种情况下，可能很多服务器都存在这类安全问题，也有可能这个服务还存在其他的运维安全问题。

唐朝安全团队通过乌云平台上现有的上千个运维方面的漏洞，分析总结了一下运维安全中那些让人头疼的问题，希望能对各位有所帮助。

0x00 目前已总结的问题

struts漏洞Web服务器未及时打补丁，有解析漏洞PHP-CGI RCEFCK编辑器server-status信息泄露网站备份文件放在web目录，可被下载列目录导致可看到敏感数据并查看snmp信息泄露weblogic弱口令SVN信息泄露域传送漏洞Rsynchadoop对外nagios信息泄露ftp弱口令或支持匿名访问导致信息泄露RTX泄露信息Ganglia信息泄露j2ee应用架构开始占主流，典型的web服务器搭配配置失误Jenkins平台没有设置登录验证zabbixzenoss监控系统Resin文件读取memcache未限制访问IPJBoss问题测试服务器外网可访问padding oracle attack用户名密码放在服务器上其他

0x01 运维安全上的“坑”

由于问题较多，接下来，我们会挑选其中较为常见的问题进行分析与总结。

1.使用的开源产品或商业产品出现漏洞时，未及时打补丁

（1）Struts 漏洞

在乌云上最火的莫过于 Struts 漏洞了，几乎各大互联网厂商都未能幸免。

这些漏洞的出现原因无一例外是由于企业未能及时对开源的 Struts 2 框架打上补丁造成的。从乌云平台上收集到的漏洞来看，其虽然 Struts 事件大爆发至今已有超过两年的时间，但直到现在仍有企业存在这类安全问题。

WooYun-2015-158152国药集团某分公司的多个站点沦陷/三十万交易数据和客户信息泄露/getshell/可内网渗透WooYun-2015-150275中粮集团某系统Getshell可影响内网安全（弱口令/命令执行/大量敏感信息泄露）WooYun-2015-149139中国电信某系统多处漏洞已Getshell（root权限/可替换apk程序/影响内网安全）

上述列举的案例都是因为企业的某个站点或者某个系统出现 Struts 漏洞，并且未能及时打上补丁造成的。

从上述列举的案例不难看出，Struts 漏洞一旦出现，动辄就可以危害企业内网安全，或者造成多个站点沦陷以及大量数据泄漏。Struts 漏洞爆发时间之久，使其利用成本也在逐渐降低，一个操作简单的漏洞就可以对企业造成巨大的危害，这无疑是运维安全中最值得注意的一个“坑”。

（2）解析漏洞

Web服务器如果没有及时打上补丁，很容易就会出现解析漏洞。

WooYun-2015-154737山东师范大学某分站服务器配置不当导致getshellWooYun-2015-153952非凡软件下载站几处漏洞打包(SQL注入\解析漏洞\命令执行）WooYun-2015-141809华润电力某公司后台弱口令导致服务器沦陷

以上三个案例也是乌云平台上近期收集到的漏洞。

IIS 6.0以及 Apache 中包含解析漏洞，导致可以上传木马文件的这个手法也已经出现很长时间了，这类漏洞的危害还是非常大的，只要用户可以找到上传通道，控制某一个文件，不管后缀，上传到服务器的Web目录下，即可获取服务器权限进而控制服务器。

2.信息泄漏危害企业安全

（1）server-status信息泄露

这是由于Apache设置不严而导致的server-status暴露。

Server-status是一个查看 Apache 状态的功能模块，如果这个页面对公网开房，就会存在一些安全隐患。例如任何人都可以看到谁在访问网站以及一些本来隐藏的管理页面。

（2）网站备份文件放在Web目录下，可被下载

这样的问题一般会导致源代码泄漏，使黑客可以通过代码审计等手段，进一步对网站进行渗透。

运维安全中总有很多细微之处，网站备份文件本身是一个谨慎的动作，但如果备份文件放置在错误的地方，就会对企业安全埋下不小的安全隐患。

（3）SVN 泄漏

SVN本身是一个开源的版本控制系统，相对于RCS、CVS，SVN采用了分支管理系统，其设计目标就是取代CVS。现在，互联网上越来越多的控制服务从CVS转移到了SVN。

WooYun-2015-134060ELLE中国高端女性门户全站数据泄漏，SVN泄漏WooYun-2015-128715中电传媒舆情检测室存在svn泄漏导致可进入舆情与敏感词监测系统WooYun-2015-127018百度某站点SVN泄漏敏感信息

SVN一旦暴露在公网环境中，黑客可以利用其中包含的用于版本信息追踪的“entires”文件，逐步摸清站点结构；另外，SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本（低版本SVN具体路径为text-base目录，高版本SVN为pristine目录），如果服务器没有对此类后缀做解析，黑客则可以直接获得文件源代码。

（4）Weblogic弱口令

Weblogic 作为一个基于JavaEE 架构的中间件，是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的 Java 应用服务器。

很多 Weblogic 服务器安装时都是采用默认密码，如果运维人员没有修改默认密码，可以使攻击者很容易进入 Weblogic 控制台获取相应权限。

WooYun-2015-158833中国人寿保险Getshell（fuzz技术内网ROOT权限）WooYun-2015-158146国华人寿保险弱口令导致GetshellWooYun-2015-159174安华农业保险某站getshellWooYun-2015-158651永诚财产保险某站存在远程命令执行漏洞威胁内网

Weblogic 作为用于开发、集成、部署和管理各类重要应用的应用服务器，在企业安全中还是占据了较为重要的地位的，如果被攻击者控制，对企业内网和服务器安全危害极大。

3.其他

除了上述常见漏洞和疏忽以外，还有各种Tomcat，PHPMyadmin弱口令等，均可能成为运维安全中突破点。

（1）Tomcat弱口令

WooYun-2015-154078中国港中旅集团旗下中旅总社某系统配置不当导致getshell(可内网探测)*WooYun-2015-149005TCL统一身份认证平台漏洞所有用户账号密码可重置 可登陆N多系统

（2）PHPMyadmin 弱口令

WooYun-2015-156568格子微酒店某系统从phpmyadmin弱口令到getshell入服务器WooYun-2015-155091同花顺某站数据库配置不当泄露多库可读取任意文件

0x02 企业运维安全现状及建议

目前企业在安全上的投入不一，部分公司对待安全漏洞的态度基本是遇到一个坑就填一个坑，这种纯“救火”的态度并不能保障运维安全，只会像打地鼠一样，疲于奔命。这样的状况一方面是由于公司自身的安全意识不强造成的，另一方面则是因为公司规模限制了安全资的配备。

对于一些大公司，特别是互联网公司，安全发展已经逐渐从“救火”阶段进入了“建设”阶段，在进入该阶段后，企业的运维安全漏洞会呈指数级下降，一些常见和普通的问题都将不再出现。这个时候，企业需要对抗的点会集中在一些比较边缘的地方，包括不常见的服务端口，依赖第三方服务的问题，又或者是一些合作方服务器安全漏洞等情况。

只是对于已经出现的漏洞和问题进行防御和改善并不能完全保障运维安全，对于一些国内外紧急爆发的大型安全事件，企业需要拼的就是中招后的提示响应和修复速度了。

另外，在运维安全中，运维人员的安全意识也占据了较为重要的地位。安全规范和标准可以落实到各个部门，以流程的方式强制执行，但是运维人员的安全意识问题，却很难控制。

由于安全意识薄弱造成的问题也比较常见，最简单常见的就是弱口令，这么多年弱口令问题从未消失。还有运维人员的很多小习惯，如Web目录下进行Web文件备份、nohup后台运行程序。

这样会导致备份文件、程序执行的日志泄露；又如随便开一个web服务下日志或者传数据，如python -m SimpleHTTPServer，这样就直接把目录映射到所有用户，如果是根目录，影响就更大了；

当然，还有些运维喜欢把自动化脚本上传到git，脚本这东西，密码就在里面，一不小心就直接泄露了密码。这些小习惯都是运维安全中的一大威胁，指不定在什么时候就能够危害到企业安全。

0x03 最后

攻防对抗本身并不平等，防御是一个面，需要面面俱到，而攻击却只需要找到一个点。要防御同一level的攻击，需要投入的防御成本往往很大。在攻防对抗的各个level中，高level的攻击手段可以随意贯穿低level的防御层面。

面对高成本的防御方式和日益增强的互联网安全威胁，我们需要一个低成本、以互联网方式应对互联网威胁的策略，希望有一天这个策略可以帮助企业填补运维安全中所有难以察觉的坑，为企业带来一堵安全上的“铜墙铁壁”。

好消息：欢迎加入开放运维联盟

开放运维联盟（OOPSA）是运维行业第一个全国性、非盈利的正式组织，指导单位为工信部电信研究院数据中心联盟（DCA）。旨在融合运维最佳实践、减少公司运维重复投入，建设运维人员共有家园，让运维不再“苦逼”。

开放运维联盟(OOPSA)，诚邀个人会员加入

开放运维联盟(OOPSA)，欢迎单位会员加入

如何一起愉快地发展