又是一个阳关明媚的上午,我正站在窗口一边剔牙一边观察楼下喷泉的施工进度。“这包子馅里的葱也太多了。”我嘟喃道,顺手将剔出的葱叶弹到一旁。这时候,办公室里的电话响了起来,我走过去一看,是领导的,赶紧拿起听筒。
“您好,网络中心热诚为您服务!”我用普通话字正腔圆的说到。
“西瓜啊?”
“是我,张总好!”我的热情不变。
“过一会儿,测评中心的人就来了,你好好配合人家检查,我跟他们打个招呼就去开会了,有什么情况随时跟我联系。”张总说到。
“好的,没问题,我随时向您汇报。”我恨不得立正敬个礼。
挂了电话没过久,张总就领着测评中心的专家来了。
“黄专家,这是我们网络运维组的组长大西瓜。今天就由他全权配合您风险评估。西瓜啊,这是测评中心的专家,黄树朗,你好好跟人学学,不会的多问,黄专家可是年轻有为啊。”张总连介绍带马屁,从黄专家的微微泛红的脸上,我看到了马屁的效果。
“您好您好,叫我小瓜就行。”我上身前倾,双手握住黄专家的手,点头哈腰的说到。
“你好。”黄专家矜持到。
“你们先忙,我还得去开个会,会一完我就过来,最近真是什么事儿都赶到一块了,见谅见谅。有什么事儿随时联系我。”张总乐呵呵的对黄专家说到。
“没事,你先忙,我跟小瓜说就行了。”黄专家依旧端着架子。
张总又跟黄专家握了握手,夹着会议本走了。
“张大虫啊,张大虫,你跑得可真快,敢把年轻专家撂下,就不怕人家找你的茬?”我心里暗暗想到。
“来,黄专家这边请,这是我们网络组的办公室,这是青菜、萝卜、茄子…”我边介绍组员,边盘算着怎么消耗时间。
风险评估突现漏洞,聪明网管妙手补天
“哦,大家辛苦,咱们直接开始吧,你给我找一个全网流量的镜像端口,我开个漏扫,这个时间长。”黄专家面无表情的说到,显然在业内混得时间不长。
“好的好的,那个,冬瓜,过来,在核心交换机上做个镜像口,就用靠墙那个桌的口吧。”我指挥下属到。
“所有流量都要有哦,不要缺了哪一路的,待会儿我还要看看网络拓扑。”黄专家补充道。
“没问题没问题,都有都有,所有流量都有。冬瓜快去弄!”我谄媚到,没办法,迎接检查最佳姿态:趴下别抬头。
快到中午的时候,黄专家才完成风险评估,“要不是这次单位多,任务急,哪能那么草草了事,你们这么大规模的网络,正常做一次风险评估少说也得一个周,张总还没开完会?”黄专家看看表说到。
“青菜,快去三楼会议室看看,张总的会结束了没?”我也看了看表,心里骂道,老张啊老张,完事儿也不来送送专家,好歹善始善终嘛。
风险评估突现漏洞,聪明网管妙手补天
“算了算了,张总忙,我不等了,下个周你们就能看到评估报告,我先走了。”黄专家急于结束。
“再坐一会儿嘛,茄子快去看看青菜怎么还不回来,电话也不打一个,真是的。”我一边拦着黄专家,一边对下属说到。
一个周之后。
张总看着电脑屏幕上的风险评估报告,我立在一旁,不时的解释两句,一是为了帮助张总了解报告的内容,二是为了表现自己如何在评估工作中讨价还价才把本单位的问题从十六个降到了六个。
“…本来黄专家说咱们杀毒软件有几个没升级的,要算个问题,我跟他说,那都是在维修间待修的机器,最近不是忙吗,修完马上联网升级,这个问题才没有记…”我吐沫横飞的描述着检查的经过,只恨旁边没有个捧哏的。
“哦,不错,这回问题不多,可是都要按人家要求整改到位。”张总点头说到。
“那是张总平时管得好,我们只是跟着您混饭吃。”我拍马屁到,想到十年前的我还是个技术愣头青,如果看到这番画面,想必自己都认不出自己来。
“你看,人家专家说咱们网络还有个漏洞,是什么MySQL的,这是怎么回事?”张总指着屏幕说到。
“这是咱们物资管理系统用的那个数据库,软件太老了,几次跟应用组说升级的事,他们也不在意,说是会影响业务,这不被人给扫出来了吗。”我解释道,顺便出了个主意:“这个我也拦不住了,黄专家说这个漏洞还挺严重的,必须要整改,要不,您再跟应用组说说?”。
“嗯,影响业务?那其他的客户端计算机怎么也会有呢?”张总没有松口。
风险评估突现漏洞,聪明网管妙手补天
“那个系统比较特殊,各下属单位的物资管理员都要装MySQL,所以客户端上也有了。”我解释道。
“那客户端的事你们快去统计一下,到底有多少机器上有这个漏洞,至于怎么弄,看情况再说吧。”张总叹了口气,说到。
“好的,我现在就去办!”我赶紧退出了张总的办公室。
回到自己办公室,我把冬瓜、青菜、萝卜、茄子叫道一块儿,说到:“哥几个来活了,老张让咱们查查看网里有多少人在用MySQL的,大家想想怎么办吧。”我靠在椅子上,抬头看着天花板,等他们发言。
“那就挨个单位问呗。”冬瓜试探的说到。
“你傻呀,那得问到啥时候?”青菜反驳冬瓜。
“不行就让各单位上报?让他们自己统计自己的数。”萝卜又想了一个主意。
“是啊,让他们自己报吧,这挨个单位扫,几千台机器,不得累死人啊。”茄子刚来没几年,也跟着说到。
风险评估突现漏洞,聪明网管妙手补天
我目光从他们四人身上扫过,心想:“原本指望着有点新意,到头来的建议还是纯体力劳动。”,嘴里说到:“挨个查多累啊,我再想想吧”。
再怎么说,我也是技术出身,在我管的网络里找个软件还要用人海战术,这事太丢人,就算良心过得去,祖师爷也绕不了我啊。让我仔细看看这到底是个什么漏洞。
开源的MySQL是一种被广泛应用的数据库。MySQL能够设置为禁止远程非信任IP地址登录。当我们不需要进行远程登录时,这是一种很好的安全设置。但是,在2005年的时候,MySQL被爆出存在远程代码执行漏洞。幸运的是,想要利用该漏洞的必须先登录数据库,这个先决条件将因特网从蠕虫灾难中拯救了出来。鉴于SQL的登录名和密码经常被破解,例如:SQL劫持、猜测、其它网络***等。想要堵住这个漏洞最好禁止非必须的远程登录。
对于网络管理员来说,解决这个问题就变为找到非必须远程登录数据库的IP地址,采取适当的防御措施。
在网络扫描工作中,有一项最普通的任务就是通过扫描一组IP地址,找到其中运行特定服务的设备。这是Nmap的版本检测所擅长的工作。
Nmap的版本检测功能就很适宜用来完成这项工作,因为它的扫描结果多加了一行信息说明服务是否允许非授权登录。如果我们想扫描网络10.0.0.0/24,一条简单有效的策略就是从一台非授权主机上运行下面的命令:
#nmap -sV -p 3306 -oG 10.0.0-mysqls-032506.gnmap 10.0.0.0/24
接下来,我们就可以利用Unix中的grep命令从扫描结果中找出允许我们的主机建立连接并能登录的设备IP地址(grep’s -v 意思是逆向匹配,打印的结果是与条件不匹配的条目)。命令如下所示:
#grep ‘Ports: 3306/open/tcp//mysql’ 10.0.0-mysqls-032506.gnmap | grep -v unauthorized
输出结果显示如下,允许远程登录MySQL服务器有:
风险评估突现漏洞,聪明网管妙手补天
解决上述问题的思路来自于对MySQL协议的基本了解和仔细阅读nmap-service-probes文件。我们抓取文件中与probe和mysql匹配的行,如下所示:
风险评估突现漏洞,聪明网管妙手补天
我们看到mysql的匹配行被设计为靠NULL探针触发,因此不需要自定义的探针确定哪个服务器允许远程登录。通过查看这些mysql的匹配行,我们发现如果MySQL服务不允许远程登录会在结果信息里显示unauthorized。
除了服务类型和版本号外,在许多情况下,版本检测还可以收集有关扫描目标的有用信息。在probes文件中充满了大量的“宝石”,它们能够把一些耗时的工作转换为简单的Nmap命令,例如:协议研究、脚本编码、定位测试服务和debugging等。
三天之后,我把扫描的结果报告给了张总。至于后续怎么处理,那就是应用组操心的事了。我关心则是怎么把故事编完。(完)
风险评估突现漏洞,聪明网管妙手补天