注意:以下所有操作須確認后再實施:
1. OpenSSH 相關漏洞
解決方案
升級OpenSSH為最新版本,目前為5.9,首先到官網(http://www.openssh.com/portable.html#http)下載:openssh-5.9p1.tar.gz
把OpenSSH 上傳到服務器,首先檢查升級前版本(以下所有操作均在root下完成):
shell> ssh -V # 此命令會顯示OpenSSL、OpenSSH的詳細版本號
首先安裝OpenSSH:
shell> tar xvf openssh-5.9p1.tar.gz
shell> cd openssh-5.9p1
shell> sed -i -e ‘s/_5.9//’ version.h
查詢信賴包是否安裝:
shell> rpm -qa | grep zlib #如果能看到zlib、zlib-devel,請繼續,否則安裝后再繼續。
shell> ./configure –sysconfdir=/etc/ssh
shell> make && make install
開始配置:
shell> /bin/cp /usr/local/sbin/sshd /etc/init.d/sshd
shell> mkdir /root/ssh_bak #創建備份目錄
shell> mv /etc/ssh/* /root/ssh_bak/ #移動到備份目錄
shell> /bin/cp /usr/local/etc/* /etc/ssh/
shell> sed -e ‘s@/usr/bin/ssh-keygen.*@#@’ /etc/init.d/sshd
shell> /etc/init.d/sshd restart
shell> ssh -V 檢查是否是 OpenSSHp1 開頭,如果是,則OpenSSH升級成功。
2.遠端WEB服務器上存在/robots.txt文件
解決方案:
解決方案: 可直接刪除(可參考:http://zh.wikipedia.org/wiki/Robots.txt)
3.ICMP timestamp請求響應漏洞 解決方案:
shell> echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all
shell> echo “echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all” >> /etc/rc.local
Windows Server 2008 參考: http://hi.baidu.com/%BA%D3%C4%CF%CD%F8%C2%B7/blog/item/91076a62831cdb4aebf8f807.html
Windows Server 2003參考: http://zhidao.baidu.com/question/41992099
4. Apache Tomcat 相關漏洞 解決方案:
根據安全廠商給的解決方案鏈接:http://www.ocert.org/advisories/ocert-2011-003.html 從此頁面可得知,有問題的Tomcat版本如下:
<= 5.5.34, <= 6.0.34, <= 7.0.22,而無安全漏洞的 Tomcat版本如下: 5.5.35, >= 6.0.35, >= 7.0.23
訪問:http://tomcat.apache.org/index.html 下載對應的Tomcat版本,例如經分在使用 Tomcat 5.5.34,下載對應的Tomcat 5.5.35;
如在使用Tomcat 6.0.34,下載對應的 Tomcat 6.0.35,依此類推。
4.1 Apache Tomcat sendfile請求安全限制繞過和拒絕服務漏洞:此漏洞也是通過上面的版本升級方式解決。具體請參考官方解釋:
http://tomcat.apache.org/security-5.html#Fixed_in_Apache_Tomcat_5.5.35 和 http://secunia.com/advisories/45232/
5.SNMP服務存在可讀口令 解決方案:
可按照漏洞掃描結果中的過程操作,如問困難,可向系統組同事請教。
6. rpc相關漏洞 解決方案:
(和項目組確認沒有使用NFS后再操作)
shell> /etc/init.d/portmap stop && chkconfig portmap off
shell> /etc/init.d/rpcidmapd stop && chkconfig rpcidmapd off
shell> /etc/init.d/nfslock stop && chkconfig nfslock off
7.利用SMTP/EXPN命令可猜測目標主機上的用戶名 解決方案(待確認):
8.Oracle數據庫服務器CREATE ANY DIRECTORY權限提升漏洞 暫時沒有解決方案。
9. SNMP服務可以通過SNMPV1訪問 解決方案(待確認)
10. Apache HTTP Server相關漏洞 解決方案:
通過下載使用Apache HTTP Server 2.2.22或以上可解決,詳情參考:http://mail-archives.apache.org/mod_mbox/httpd-announce/201201.mbox/browser
此頁面顯示了2.2.22或以上這個版本修復了哪些安全漏洞。官方下載地址:http://www.apache.org/dyn/closer.cgi
10.1 Apache Apache::Status和Apache2::Status模塊跨站腳本漏洞
http://mail-archives.apache.org/mod_mbox/perl-advocacy/200904.mbox/%3Cad28918e0904011458h273a71d4x408f1ed286c9dfbc@mail.gmail.com%3E
10.2 Apache服務器不完整HTTP請求拒絕服務漏洞[精確掃描]:
更改httpd.conf中 TimeOut 的值為30秒
11.遠端WWW服務支持TRACE請求 解決方案 請參考第10點。
12.Oracle tnslsnr沒有設置口令 解決方案:
掃描報告已經明確寫出詳細步驟,或DBA自己完成。
13. 猜測出遠程FTP服務存在可登錄的用戶名口令 解決方案:
確認賬號的密碼復雜性,例如檢查是否存在123456 類似這樣的密碼,如有簡單密碼,確認后再修改。
14.目標主機showmount -e信息泄露 解決方案:
確認是否有NFS服務在運行,如在運行確認是否關閉,如因有業務影響請在整改報告中明確寫出原因(但絕不能外網訪問NFS)。
15.檢測到遠端rlogin服務正在運行中 解決方案:
如果是AIX系統,請在整改報告中明確寫出原因(但絕不能外網登錄)。
16.遠端運行着IDENT服務 解決方案:
漏洞掃描報告中已經有詳細的操作步驟。
17.檢測到遠端rsh服務正在運行中 解決方案:
如果是AIX系統,請在整改報告中明確寫出原因(但絕不能外網登錄)。
18.檢測到遠端rexec服務正在運行中 解決方案:
漏洞掃描報告中已經有詳細的操作步驟。
19.存在一個可用的遠程代理服務器 解決方案待確認。
20.遠程web主機存在目錄遍歷漏洞 解決方案待確認。
21. 遠程主機允許匿名FTP登錄 解決方案:
修改配置文件,不許出現匿名登錄,由於FTP的類型較多,具體的操作步驟可咨詢系統組同事。
22.FTP服務器版本信息可被獲取 無需整改(因要修改源碼重新編譯)。
23.遠端SSH Server允許使用低版本SSH協議 解決方案:
參考漏洞掃描報告中的操作步驟,或參考第1點直接升級OpenSSH版本(強烈建議)。
24.檢測到遠端XDMCP服務正在運行中 解決方案:
關閉XDMCP服務
25. PHP相關漏洞 解決方案:
根據http://www.venustech.com.cn/NewsInfo/124/6459.Html 可得知,受影響版本是:
PHP 5.2 <= 5.2.13
PHP 5.3 <= 5.3.2
目前最好的辦法是升級PHP版本。官方最新穩定是:PHP 5.3.10。 而5.2.X 最高版本是:PHP 5.2.17
解決方案
升級OpenSSH為最新版本,目前為5.9,首先到官網(http://www.openssh.com/portable.html#http)下載:openssh-5.9p1.tar.gz
把OpenSSH 上傳到服務器,首先檢查升級前版本(以下所有操作均在root下完成):
shell> ssh -V # 此命令會顯示OpenSSL、OpenSSH的詳細版本號
首先安裝OpenSSH:
shell> tar xvf openssh-5.9p1.tar.gz
shell> cd openssh-5.9p1
shell> sed -i -e ‘s/_5.9//’ version.h
查詢信賴包是否安裝:
shell> rpm -qa | grep zlib #如果能看到zlib、zlib-devel,請繼續,否則安裝后再繼續。
shell> ./configure –sysconfdir=/etc/ssh
shell> make && make install
開始配置:
shell> /bin/cp /usr/local/sbin/sshd /etc/init.d/sshd
shell> mkdir /root/ssh_bak #創建備份目錄
shell> mv /etc/ssh/* /root/ssh_bak/ #移動到備份目錄
shell> /bin/cp /usr/local/etc/* /etc/ssh/
shell> sed -e ‘s@/usr/bin/ssh-keygen.*@#@’ /etc/init.d/sshd
shell> /etc/init.d/sshd restart
shell> ssh -V 檢查是否是 OpenSSHp1 開頭,如果是,則OpenSSH升級成功。
2.遠端WEB服務器上存在/robots.txt文件
解決方案:
解決方案: 可直接刪除(可參考:http://zh.wikipedia.org/wiki/Robots.txt)
3.ICMP timestamp請求響應漏洞 解決方案:
shell> echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all
shell> echo “echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all” >> /etc/rc.local
Windows Server 2008 參考: http://hi.baidu.com/%BA%D3%C4%CF%CD%F8%C2%B7/blog/item/91076a62831cdb4aebf8f807.html
Windows Server 2003參考: http://zhidao.baidu.com/question/41992099
4. Apache Tomcat 相關漏洞 解決方案:
根據安全廠商給的解決方案鏈接:http://www.ocert.org/advisories/ocert-2011-003.html 從此頁面可得知,有問題的Tomcat版本如下:
<= 5.5.34, <= 6.0.34, <= 7.0.22,而無安全漏洞的 Tomcat版本如下: 5.5.35, >= 6.0.35, >= 7.0.23
訪問:http://tomcat.apache.org/index.html 下載對應的Tomcat版本,例如經分在使用 Tomcat 5.5.34,下載對應的Tomcat 5.5.35;
如在使用Tomcat 6.0.34,下載對應的 Tomcat 6.0.35,依此類推。
4.1 Apache Tomcat sendfile請求安全限制繞過和拒絕服務漏洞:此漏洞也是通過上面的版本升級方式解決。具體請參考官方解釋:
http://tomcat.apache.org/security-5.html#Fixed_in_Apache_Tomcat_5.5.35 和 http://secunia.com/advisories/45232/
5.SNMP服務存在可讀口令 解決方案:
可按照漏洞掃描結果中的過程操作,如問困難,可向系統組同事請教。
6. rpc相關漏洞 解決方案:
(和項目組確認沒有使用NFS后再操作)
shell> /etc/init.d/portmap stop && chkconfig portmap off
shell> /etc/init.d/rpcidmapd stop && chkconfig rpcidmapd off
shell> /etc/init.d/nfslock stop && chkconfig nfslock off
7.利用SMTP/EXPN命令可猜測目標主機上的用戶名 解決方案(待確認):
8.Oracle數據庫服務器CREATE ANY DIRECTORY權限提升漏洞 暫時沒有解決方案。
9. SNMP服務可以通過SNMPV1訪問 解決方案(待確認)
10. Apache HTTP Server相關漏洞 解決方案:
通過下載使用Apache HTTP Server 2.2.22或以上可解決,詳情參考:http://mail-archives.apache.org/mod_mbox/httpd-announce/201201.mbox/browser
此頁面顯示了2.2.22或以上這個版本修復了哪些安全漏洞。官方下載地址:http://www.apache.org/dyn/closer.cgi
10.1 Apache Apache::Status和Apache2::Status模塊跨站腳本漏洞
http://mail-archives.apache.org/mod_mbox/perl-advocacy/200904.mbox/%3Cad28918e0904011458h273a71d4x408f1ed286c9dfbc@mail.gmail.com%3E
10.2 Apache服務器不完整HTTP請求拒絕服務漏洞[精確掃描]:
更改httpd.conf中 TimeOut 的值為30秒
11.遠端WWW服務支持TRACE請求 解決方案 請參考第10點。
12.Oracle tnslsnr沒有設置口令 解決方案:
掃描報告已經明確寫出詳細步驟,或DBA自己完成。
13. 猜測出遠程FTP服務存在可登錄的用戶名口令 解決方案:
確認賬號的密碼復雜性,例如檢查是否存在123456 類似這樣的密碼,如有簡單密碼,確認后再修改。
14.目標主機showmount -e信息泄露 解決方案:
確認是否有NFS服務在運行,如在運行確認是否關閉,如因有業務影響請在整改報告中明確寫出原因(但絕不能外網訪問NFS)。
15.檢測到遠端rlogin服務正在運行中 解決方案:
如果是AIX系統,請在整改報告中明確寫出原因(但絕不能外網登錄)。
16.遠端運行着IDENT服務 解決方案:
漏洞掃描報告中已經有詳細的操作步驟。
17.檢測到遠端rsh服務正在運行中 解決方案:
如果是AIX系統,請在整改報告中明確寫出原因(但絕不能外網登錄)。
18.檢測到遠端rexec服務正在運行中 解決方案:
漏洞掃描報告中已經有詳細的操作步驟。
19.存在一個可用的遠程代理服務器 解決方案待確認。
20.遠程web主機存在目錄遍歷漏洞 解決方案待確認。
21. 遠程主機允許匿名FTP登錄 解決方案:
修改配置文件,不許出現匿名登錄,由於FTP的類型較多,具體的操作步驟可咨詢系統組同事。
22.FTP服務器版本信息可被獲取 無需整改(因要修改源碼重新編譯)。
23.遠端SSH Server允許使用低版本SSH協議 解決方案:
參考漏洞掃描報告中的操作步驟,或參考第1點直接升級OpenSSH版本(強烈建議)。
24.檢測到遠端XDMCP服務正在運行中 解決方案:
關閉XDMCP服務
25. PHP相關漏洞 解決方案:
根據http://www.venustech.com.cn/NewsInfo/124/6459.Html 可得知,受影響版本是:
PHP 5.2 <= 5.2.13
PHP 5.3 <= 5.3.2
目前最好的辦法是升級PHP版本。官方最新穩定是:PHP 5.3.10。 而5.2.X 最高版本是:PHP 5.2.17