国庆期间,一个朋友突然跟我说他们的阿里云服务器被黑了,让我帮看看情况。经过了解,是一位19岁的安全少年主动联系了他们,正好是他们的粉丝,所以热情的提供了一整套攻击清单让客户那边尽快修复这些问题,也没有做什么破坏,粉丝大法好!
赶紧看下攻击清单,毕竟我不玩“安全”很多年了,对现在使用的手法已经不那么熟悉。
攻击清单中一些严重的问题
- REDIS虽有密码却未限定访问,严重程度:高。通过在获取rootshell后,写入这样的后门,服务器管理员不容易察觉,安全问题容易复发。
- .git目录未禁止访问,严重程度:非常高。泄露整站源码,源码中甚至可能含有各种服务器组建的访问/登录密码(如Mysql、Redis等),商业损失严重。
看到.git(这里有一篇更详细的漏洞利用方法)这个使用方法整个人都精神了,赶紧测试下自己的站,发现可以访问!那就意味着可以被整站下载…
现在要让Apache和Nginx禁止访问.git才行。
Apache .htaccess
RewriteEngine on RewriteRule ^.git - [F,L]
Nginx conf
location ^~ /.git {
return 404;
}
之后重新加载/重启Nginx即可。
