一次应急响应记录

发布时间:2023年12月18日

背景:

周五晚上,我健身完回到宿舍收到qq消息,原来是安全厂商在扫描资产时,发现一批openssh漏洞如下图:

其实我是一名小白,我的第一反应就是升级openssh版本。但是这里问题又来了,我们内网主机是无法连接公网的,yum命令无法使用。问了其他运维人员,我还不能随便升级openssh,必须找其他部门配合,但是领导下了死命令,今天之内必须修复,我也是组内的人临时求助到我,之前的情况并不了解。

于是我接下来的思路是源码安装openssh,然后在自己的公网主机中做一个实验,如果通过则在内网主机中使用该方法。找了一圈,发现其实都有一些问题。

这个时候,我不知道为啥运行了查看防火墙的命令:

iptables -L -n

我惊讶的发现,该防火墙的规则居然为空,类似下图,我一下子明白了,原来是防火墙没开启,内网中我们的防火墙都是有特定的配置规则,只允许堡垒机和某些业务机访问,其他机器均不能访问,这都是通过iptables来配置的。

于是我参照该业务的其他主机的防火墙规则进行了手动配置。这里有出现问题了,我本来想把其他主机的/etc/sysconfig/iptables直接复制到漏洞主机上,然后重启iptables应用即可,结果发现service iptables restart 和 systemctl restart iptables都无法使用。

为了进度,我只能手动配置,第一行是需要放行的堡垒机,主机拒绝22端口的主机必须放在最后一行,不然你都无法通过堡垒机登录了,只能之后去机房插键盘。。。

iptables -I INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

?然后我使用nmap简单扫描了一下,发现22端口的流量已经被防火墙过滤了(此IP是我替换过的):

┌──(root?local)-[~]
└─# nmap -p 22 192.168.7.1
Starting Nmap 7.94 ( https://nmap.org ) at 2023-12-15 22:38 CST
Nmap scan report for 133.38.137.89
Host is up (0.047s latency).

PORT   STATE    SERVICE
22/tcp filtered ssh

我赶紧在群里面给出了我的简单复测结果,接下来就等安全厂商的扫描结果,毕竟领导最后还是看厂商(我是甲方),过了大概半个多小时,安全厂商终于给出了复测结果,果然没问题,此次响应到此结束。

总结

经过这次事件,我学习到了:

1. 在企业中防火墙非常重要,iptables一定要学会,新机器也可以用firewalld,但是经典就是经典,就像ak47,是战士亲密的战友。

2.扫描器扫出来的漏洞的修补中,要尽量了解到主机的环境,了解其他相似主机的环境,找到其差异的地方,大部分情况下扫描器都是扫出了版本问题,如果类似openssh这种,我们有堡垒机就可以通过防火墙来过滤,如果是某些应用,可能只有升级。

3.解决问题的过程中,需要灵活应变,多想几种方法,尽量了解事件的全貌,然后做出判断,着手解决。

文章来源:https://blog.csdn.net/weixin_39445116/article/details/135026914
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。