当前位置:论坛首页 > Linux面板 > Linux面板教程

堡塔防提权--【解决最后一公里的安全】

发表在 Linux面板2020-6-15 12:01 [复制链接] 7 38954

一、项目背景:
堡塔正在内部测试一款防提权插件
1.1 能实现成的效果
      1. 实现记录所有用户的命令记录
      2.守护网站的安全。禁止web用户执行命令(并发送邮件报警|钉钉报警)
      3. 防御redis 对外端口开放导致的挖矿
      4. 达到实时响应和排查问题

二、安装使用教程2.1 安装(此为企业版插件)首先需要点击一下更新软件列表
TIM截图20200617154625.png
然后搜索防提权即可找到
TIM截图20200617150512.png
(需要更新面板至7.3.0)


2.2 设置邮件报警信息
TIM截图20200617150816.png

在面板设置中设置消息通道,可以使用邮件或者钉钉 具体的设置参考如下教程
https://www.bt.cn/bbs/thread-42312-1-1.html

设置完消息通道之后
TIM截图20200617151040.png
点击设置邮箱、(这里如果没有设置的话。后续的邮件是发不出去的。只能在日志中显示)

三、模拟测试 TIM截图20200616181514.png
TIM截图20200616181928.png TIM截图20200616182026.png



这里模拟测试是在命令行当中执行了su www 命令(不会对你的系统或者网站造成任何影响
相当于如下的操作
TIM截图20200616181626.png
这个是模拟www 用户登陆拦截的一个效果

如果未开启防提权的总开关或者未开启www用户的防提权会模拟失败。


四、如何测试效果
1.先看看页面效果
TIM截图20200615115134.png

1. 针对网站的防御测试
首先把php 的system函数打开 (测试完之后记得把system函数写回去)
TIM截图20200615115246.png
删除之后得重启php
TIM截图20200615115609.png
然后写一个php文件
TIM截图20200615115412.png

访问一下
TIM截图20200615115643.png
这是没有开启之前的。开启之后如下:

TIM截图20200615115813.png

这里已经被拦截了。
TIM截图20200615115907.png
查看一下命令记录
TIM截图20200615120428.png
一分钟之后。就收到邮件了(邮件和钉钉报警一分钟之内只会发送3条通知
TIM截图20200615120022.png

然后就可以定位到webshell 的位置为/www/test/192.168.1.245 在这里了

五、测试redis 用户
4.1 先安装一个redis
TIM截图20200615121233.png

然后运行恶意的代码
TIM截图20200615121820.png

然后被拦截
TIM截图20200615121855.png

六、防御mysql 用户
通过mysql提权后会添加sys_eval等等函数,这里使用sys_eval提权执行命令

TIM截图20200616091429.png


执行whoami命令,在没有开启防提权的情况下,可以直接执行系统命令
TIM截图20200616091456.png

开启防提权,并且将mysql防提权开启(默认开启)
TIM截图20200616091530.png

再次执行whoami命令,已经被拦截了
TIM截图20200616091604.png

查看拦截日志
TIM截图20200616091626.png














使用道具 举报 只看该作者 回复
发表于 2023-7-2 12:59:59 | 显示全部楼层
  禁止相应函数  不就可以啦?
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

企业版年付运维跟进群

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表