作者:田民
在阿裡雲雲盾新近的日常營運中,我們截獲了黑客利用某些阿裡雲使用者網站存在ftp匿名漏洞上傳後門程式的攻擊行為。下圖是某黑客的入侵記錄:
ftp匿名登入是指網站允許使用者使用anonymous或ftp作為使用者名以使用者信箱做為密碼(确切的說是任何帶@的密碼)登入到系統。雖然嚴格意義上講,匿名ftp本身并不是個代碼級漏洞,但是黑客可以利用這個配置上漏洞入侵系統上傳木馬,或下載下傳敏感資料。網站存在ftp匿名漏洞往往是因為管理者在進行網站配置時的疏忽大意所緻,造成潛在安全隐患。
在對捕獲攻擊行為的分析中,我們發現某些網站開啟了ftp匿名登入和寫入權限,這是非常危險的。在上面的入侵記錄截圖中,我們可以看到,某黑客正是利用網站開啟了ftp匿名寫權限,上傳了一個php木馬。木馬上傳後,網站安全将不複存在。
除此之外,我們提醒站長使用者即便未開啟寫入權限,單純開啟讀取權限也是非常危險的。在阿裡雲雲盾的營運工作中,我們發現有黑客利用ftp匿名登入後,讀取源代碼檔案,分析出某些敏感目錄的路徑(如背景管理路徑),再通過暴力破解等方式登入系統。更危險的是,在某些目錄中存放大量的網站資料備份檔案(使用者/業務資料和網站源代碼等),黑客下載下傳這些檔案/資料可能會造成更大程度的危害。
是以,我們建議網站站長(在沒有業務需要的前提下)關閉ftp匿名登入的功能。下面列舉windows和linux系統關閉ftp匿名登入的方法:
1. windows系統關閉ftp匿名登入的方法:
确認“允許匿名連接配接”的選項為空。
2. linux系統關閉ftp匿名登入的方法:
修改/etc/vsftpd.conf配置,
1 # access rights
2 anonymous_enable=no
3 no_anon_password=no
修改完成後,重新開機ftp服務。
對于某些需要開啟ftp匿名服務的網站(雖然我們的建議是不要開啟),以windows系統為例,我們提出如下建議:
1、将ftp匿名登入目錄指向非網站目錄,如臨時目錄 /temp/
2、使用ftp目錄下的檔案時,确認檔案是否被人篡改過,即确認檔案的安全性和可信性,如校驗md5等。
這樣可以在一定程度上提高ftp匿名服務的安全性。