多視角下的Rsync協議攻擊防御-paperpen.pdf

《多視角下的Rsync協議攻擊防御-paperpen.pdf》由會員分享，可在線閱讀，更多相關《多視角下的Rsync協議攻擊防御-paperpen.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、多視角下的多視角下的RsyncRsync協議攻擊防御協議攻擊防御PaperPenTimeline Sec網絡安全團隊創始人平安科技銀河實驗室安全研究員3 年網絡安全從業經驗擅長方向：紅藍攻防/規則防御/SRC挖掘目前研究方向：云安全/網安教育培訓PaperPen王鑫旭About Me0 x00 前言Rsync介紹01白帽子視角02企業防御視角03安全產品視角04目 錄RsyncRsync介紹介紹01占有帶寬少安全不需要特殊權限速度快Rsync 是一款開源的、快速的、多能的、可以實現全量以及增量的本地或者是遠程的數據同步（拷貝）備份數據同步（拷貝）備份的優秀工具Remote Remote syn

2、chronizationsynchronization遠程同步遠程同步0 x01 Rsync 介紹1.1 什么是 Rsync0 x01 Rsync 介紹1.2 Rsync 指紋特征默認端口為 873protocol=rsync|banner=RSYNCD:白帽子視角白帽子視角02Rsync未授權訪問Rsync目錄爆破利用Rsync服務進行getshell風險點尋找未授權路徑 認證爆破權限（上傳/下載）思考：如何實現批量自動化檢測？rsync rsync:/ip:port rsync rsync:/ip:port/模塊名/rsync rsync:/ip:port/模塊名/文件名./0 x02 白

3、帽子2.1 Rsync 未授權訪問0 x02 白帽子2.2 Rsync 目錄爆破0 x02 白帽子2.2 Rsync 目錄爆破0 x02 白帽子2.3 getshell 實戰案例NC 連接 Rsync 過程：0 x02 白帽子2.4 批量檢測漏洞RSYNCD:版本號（返回）RSYNCD:版本號（輸入）模塊名（輸入）多種返回結果（返回）nc target_ip port01A U T H R E Q D 需 要 用 戶 名 密 碼02a c c e s s d e n i e d需 要 i p 白 名 單03其 它 模 塊 不 存 在04直 接 回 車直 接 顯 示 模 塊 名0 x02 白帽子

4、2.4 批量檢測漏洞nc 連接的 4 種結果0 x02 白帽子2.4 批量檢測漏洞12345nc 連接判斷是否建立連接客戶端返回指定版本號內容根據返回情況輸出至不同文件內服務端返回版本號讀取模塊名字典文件拼接測試企業防御視角企業防御視角03在 Rsync 服務器上，配置 ACL 以限制可以連接的IP地址或服務器：Rsync配置文件：rsyncd.conf 指定允許的IP地址/主機：hosts allow指定拒絕的IP地址/主機：hosts deny配置訪問控制列表（配置訪問控制列表（ACL）使用 SSH 作為 Rsync 的傳輸協議，只讓具備 SSH 密鑰的授權用戶進行連接和傳輸。使用使用SS

5、H進行認證進行認證若還是決定使用 Rsync 的傳統方式進行傳輸，請確保已為 Rsync 用戶設置密碼保護。設置 Rsync 密碼文件在 Rsync 配置文件中，將其指定為secrets file設置密碼保護設置密碼保護0102030 x03 企業防御視角3.1 如何正確配置在服務器上設置防火墻規則，以阻止外部訪問 Rsync 端口（默認為873）只允許來自信任的 IP 地址范圍的流量訪問這個端口防火墻規則防火墻規則確保您正在運行最新版本的 Rsync軟件，因為較新的版本通常包含更多的安全性修復和改進及時升級 Rsync 以降低潛在的漏洞風險更新更新 Rsync軟件軟件限制 Rsync 服務器

6、運行時的權限，以降低潛在的攻擊面確保 Rsync 服務器以最小特權運行，只能訪問必要的文件和目錄最小化權限最小化權限0405060 x03 企業防御視角3.1 如何正確配置0 x03 企業防御視角3.2 配置示例rsyncd.confauth users=secrets file=/etc/rsyncd.secretshosts allow=hosts deny=安全產品視角安全產品視角040 x04 產品安全視角4.1 如何正確檢測監測Rsync命令執行查看系統日志文件，監測rsync命令的執行監測系統中執行的所有Rsync命令監測大規模文件傳輸監測遠程IP地址檢測異常Rsync行為/var

7、/log/rsync.log/var/log/auth.log0 x04 產品安全視角4.1 如何正確檢測監測Rsync命令執行可能是數據泄露的標志檢測大規模文件傳輸監測大規模文件傳輸監測遠程IP地址檢測異常Rsync行為監測Rsync操作中傳輸的文件數量和大小，如果超過閾值，則觸發警報。0 x04 產品安全視角4.1 如何正確檢測監測Rsync命令執行可以觸發警報。如果有 IP 地址嘗試連接到 Rsync 服務器，但是始終模塊錯誤監測大規模文件傳輸監測遠程IP地址檢測異常Rsync行為 0 x04 產品安全視角4.1 如何正確檢測監測Rsync命令執行可以觸發警報如果Rsync文件傳輸速率異

8、常高或異常大規模文件傳輸監測大規模文件傳輸監測遠程IP地址檢測異常Rsync行為0 x04 產品安全視角4.2 防御規則檢測Rsync端口掃描 如果有多個連接嘗試到Rsync端口（873），可能是入侵者在掃描系統以尋找未經授權的訪問。alert tcp$EXTERNAL_NET any-$HOME_NET 873(msg:Possible Rsync Port Scanning;flow:established,to_server;threshold:type limit,track by_src,count 10,seconds 60;)檢測Rsync暴力破解檢測到Rsync目錄爆破檢測異常

9、Rsync行為0 x04 產品安全視角4.2 防御規則檢測Rsync端口掃描如果有用戶嘗試通過爆破連接到Rsync服務器，可以觸發警報。alert tcp$EXTERNAL_NET any-$HOME_NET 873(msg:Rsync Brute Force Attack;flow:to_server,established;content:ERROR:auth failed on module;threshold:type limit,track by_src,count 10,seconds 60;)檢測Rsync暴力破解檢測到Rsync目錄爆破檢測異常Rsync行為0 x04 產品安全

10、視角4.2 防御規則檢測Rsync端口掃描如果有IP地址嘗試連接到Rsync服務器但是始終模塊錯誤，可以觸發警報。alert tcp$EXTERNAL_NET any-$HOME_NET 873(msg:Rsync Brute Force Directory;flow:to_server,established;content:ERROR:Unknown module;threshold:type limit,track by_src,count 10,seconds 60;)檢測Rsync暴力破解檢測到Rsync目錄爆破檢測異常Rsync行為0 x04 產品安全視角4.2 防御規則檢測Rsy

11、nc端口掃描如果Rsync文件傳輸速率異常高或異常大規模文件傳輸，可以觸發警報 alert tcp$HOME_NET 873-$EXTERNAL_NET any(msg:Suspicious Rsync Behavior;flow:established,to_server;content:from=;content:files/sec;dsize 4096;)檢測Rsync暴力破解檢測到Rsync目錄爆破檢測異常Rsync行為總結總結FinallyFinally準確進行檢測，從而幫助企業及時發現風險及威脅并及時阻正確設置配置文件，免受訪問控制權限缺陷帶來的安全風險測試時要盡可能全面覆蓋安全問題，并且思考如何通過自動化方式提升效率安全廠商企業防守方白帽子不同角色不同視角不同思考T H A N K ST H A N K SQ&A致謝 朱文哲平安科技銀河實驗室致謝 楊莉平安科技銀河實驗室致謝 熊陶騰訊云鼎實驗室