V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
joyhub2140
V2EX  ›  服务器

我在阿里云防火墙屏蔽掉 mysql 端口(mysql 拒绝一切外网 IP),为什么人家还是可以扫描出漏洞

  •  
  •   joyhub2140 · 2020-12-11 11:32:47 +08:00 · 2276 次点击
    这是一个创建于 1446 天前的主题,其中的信息可能已经有所发展或是发生改变。
    阿里云防火墙的配置规则是:
    1.默认拒绝一切连接,只开放 80,443,ssh (换高位端口号)
    2.ssh 只允许阿里云局域网内另一台跳板机进行连接,公网是无法直连 ssh 的

    我们的主营业务都是一些事.业单位的网站以及公众号,前些天合作方管信息安全的部门说我们的网站有漏洞,都集中在 mysql 和 ssh

    我们的系统都是部署在阿里云的,难道阿里云的防火墙还能放行某种连接,让别人获得 mysql 和 ssh 版本信息?

    求网络安全的大佬解答。。。。
    第 1 条附言  ·  2020-12-11 14:53:39 +08:00
    鉴于单.位.领.导必须要求修补漏洞,不然会影响他们的年度政~绩

    目前解决办法:

    1.对 mysql 打补丁 or 升级版本,因为那台主机配置高,承载的业务也很多,重度依赖 mysql,对其升级,可能会带来不可预料的事情发生

    2.除了阿里云的防火墙,Centos 内的 iptable 也开启

    3.开跳板机(上面的软件和系统最新),修改域名解析地址指向跳板机,而跳板机转发 http/https 流量到业务主机,让扫描者扫描跳板机
    12 条回复    2020-12-11 14:57:17 +08:00
    codehz
        1
    codehz  
       2020-12-11 12:38:52 +08:00 via Android   ❤️ 2
    说明已经进入到内网渗透的步骤了
    agdhole
        2
    agdhole  
       2020-12-11 12:48:31 +08:00
    也可能是网站程序被黑了?
    jptx
        3
    jptx  
       2020-12-11 13:15:24 +08:00
    是不是他们把扫描程序放到你的服务器里了,可能是别人配合放的
    ericwood067
        4
    ericwood067  
       2020-12-11 13:16:25 +08:00
    你的 mysql 既然要拒绝一切外网 ip,直接监听 127.0.0.1 好了。有内网访问需要都话,在机器上也要启用自己都防火墙,只允许特定 ip 访问。
    阿里云的防火墙没用过,不知道能不能阻止内网其他机器对你的攻击;你的客户请的测试团队可能通过阿里内网对你进行了攻击测试;所以不能完全依赖阿里的防火墙。
    ice2016
        5
    ice2016  
       2020-12-11 13:50:06 +08:00
    这个漏扫设备就可以扫描到,
    mysql 不是最新版的话,漏洞很多,
    在就是 ssl 和 ssh 升级到最新版,还有各种配置。。
    joyhub2140
        6
    joyhub2140  
    OP
       2020-12-11 14:32:34 +08:00
    @codehz
    @ericwood067

    1.漏洞报告书是市.网.信.办那边出具的,不知道他们那边有无特.权绕过防火墙做这个漏洞扫描。
    2.阿里云每周都会发送安全报告邮件给我,或许,是上.层那边有权力直接从阿里云获取这部分安全报告?
    longaiwp
        7
    longaiwp  
       2020-12-11 14:36:31 +08:00
    我记得每一台标准的阿里云服务器内部都有一个阿里云的安全进程,所以能扫描出漏洞不奇怪吧,应该说是一件很正常的事情。
    est
        8
    est  
       2020-12-11 14:43:55 +08:00
    因为阿里云的漏洞扫描请求是 127.0.0.1 发起的。每个主机都跑着个远控进程。。。(黑方便!
    joyhub2140
        9
    joyhub2140  
    OP
       2020-12-11 14:50:00 +08:00
    @est
    @longaiwp 对!有个 aliyundun 的进程和 watchdog 进行
    Xusually
        10
    Xusually  
       2020-12-11 14:55:51 +08:00
    阿里云有看门狗在你主机里。
    在里面扫描的,不是从外面。
    wunonglin
        11
    wunonglin  
       2020-12-11 14:56:24 +08:00
    用阿里云的 mysql 呗,有漏洞就赖阿里云
    AIFNI45Mdxn
        12
    AIFNI45Mdxn  
       2020-12-11 14:57:17 +08:00
    禁止外网只能防止被任意用户通过外网访问到,但是你本身业务是需要访问数据库,也会连接 mysql 。如果是网站本身有漏洞,从而会影响数据库的安全性,赶紧修复你自己网站的漏洞并可以搭配使用安全防护产品哈哈哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1055 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 20:13 · PVG 04:13 · LAX 12:13 · JFK 15:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.