多视角下的Rsync协议攻击防御-paperpen.pdf

1、多视角下的多视角下的RsyncRsync协议攻击防御协议攻击防御PaperPenTimeline Sec网络安全团队创始人平安科技银河实验室安全研究员3 年网络安全从业经验擅长方向：红蓝攻防/规则防御/SRC挖掘目前研究方向：云安全/网安教育培训PaperPen王鑫旭About Me0 x00 前言Rsync介绍01白帽子视角02企业防御视角03安全产品视角04目 录RsyncRsync介绍介绍01占有带宽少安全不需要特殊权限速度快Rsync 是一款开源的、快速的、多能的、可以实现全量以及增量的本地或者是远程的数据同步（拷贝）备份数据同步（拷贝）备份的优秀工具Remote Remote syn

2、chronizationsynchronization远程同步远程同步0 x01 Rsync 介绍1.1 什么是 Rsync0 x01 Rsync 介绍1.2 Rsync 指纹特征默认端口为 873protocol=rsync|banner=RSYNCD:白帽子视角白帽子视角02Rsync未授权访问Rsync目录爆破利用Rsync服务进行getshell风险点寻找未授权路径 认证爆破权限（上传/下载）思考：如何实现批量自动化检测？rsync rsync:/ip:port rsync rsync:/ip:port/模块名/rsync rsync:/ip:port/模块名/文件名./0 x02 白

3、帽子2.1 Rsync 未授权访问0 x02 白帽子2.2 Rsync 目录爆破0 x02 白帽子2.2 Rsync 目录爆破0 x02 白帽子2.3 getshell 实战案例NC 连接 Rsync 过程：0 x02 白帽子2.4 批量检测漏洞RSYNCD:版本号（返回）RSYNCD:版本号（输入）模块名（输入）多种返回结果（返回）nc target_ip port01A U T H R E Q D 需 要 用 户 名 密 码02a c c e s s d e n i e d需 要 i p 白 名 单03其 它 模 块 不 存 在04直 接 回 车直 接 显 示 模 块 名0 x02 白帽子

4、2.4 批量检测漏洞nc 连接的 4 种结果0 x02 白帽子2.4 批量检测漏洞12345nc 连接判断是否建立连接客户端返回指定版本号内容根据返回情况输出至不同文件内服务端返回版本号读取模块名字典文件拼接测试企业防御视角企业防御视角03在 Rsync 服务器上，配置 ACL 以限制可以连接的IP地址或服务器：Rsync配置文件：rsyncd.conf 指定允许的IP地址/主机：hosts allow指定拒绝的IP地址/主机：hosts deny配置访问控制列表（配置访问控制列表（ACL）使用 SSH 作为 Rsync 的传输协议，只让具备 SSH 密钥的授权用户进行连接和传输。使用使用SS

5、H进行认证进行认证若还是决定使用 Rsync 的传统方式进行传输，请确保已为 Rsync 用户设置密码保护。设置 Rsync 密码文件在 Rsync 配置文件中，将其指定为secrets file设置密码保护设置密码保护0102030 x03 企业防御视角3.1 如何正确配置在服务器上设置防火墙规则，以阻止外部访问 Rsync 端口（默认为873）只允许来自信任的 IP 地址范围的流量访问这个端口防火墙规则防火墙规则确保您正在运行最新版本的 Rsync软件，因为较新的版本通常包含更多的安全性修复和改进及时升级 Rsync 以降低潜在的漏洞风险更新更新 Rsync软件软件限制 Rsync 服务器

6、运行时的权限，以降低潜在的攻击面确保 Rsync 服务器以最小特权运行，只能访问必要的文件和目录最小化权限最小化权限0405060 x03 企业防御视角3.1 如何正确配置0 x03 企业防御视角3.2 配置示例rsyncd.confauth users=secrets file=/etc/rsyncd.secretshosts allow=hosts deny=安全产品视角安全产品视角040 x04 产品安全视角4.1 如何正确检测监测Rsync命令执行查看系统日志文件，监测rsync命令的执行监测系统中执行的所有Rsync命令监测大规模文件传输监测远