Archive for 十一月, 2017

关于“MongoDB和Redis数据库未授权访问漏洞”的安全提示

Posted by 王宇 on 17th 十一月 2017

近期我校发现多个MongoDB或Redis数据库未授权访问漏洞的实例,涉及多台主机和服务器,已经根据学校网络信息安全漏洞处置流
程进行整改。据安全机构对外发布的安全事件案例分析和安全报告统计,目前多数勒索病毒均利用未授权访问等通用漏洞进行植入
、勒索,包括Redis、MongoDB等数据库的未授权访问漏洞,而也未授权访问漏洞本身也存在明显的数据泄漏风险。因此,这里对“
MongoDB数据库和Redis服务器未授权访问漏洞”进行如下安全提示,请各位师生在日常使用MongoDB或Redis数据库时注意进行相应
的安全设置,减少网络安全隐患。以下安全加固建议,请结合自身部署情况自行选择有效的方式。

1、MongoDB数据库未授权访问漏洞
1)漏洞描述
Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有
数据。如果Redis以root身份运行,可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
2)漏洞加固
可以配置redis.conf文件(在安装目录下):
默认只对本地开放:bind 127.0.0.1
添加登陆密码:requirepass www.secpulse.com
在需要对外开放的时候修改默认端口:port 2333
最后还可以配合iptables或主机防火墙限制开放。

2、Redis数据库未授权访问漏洞
1)漏洞描述
开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库,登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
2)漏洞加固
为MongoDB添加认证:
(1)MongoDB启动时添加–auth参数
(2)给MongoDB添加用户:
use admin #使用admin库
db.addUser(“root”, “123456”) #添加用户名root密码123456的用户
db.auth(“root”,”123456″) #验证下是否添加成功,返回1说明成功
禁用HTTP和REST端口:
MongoDB自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB默认会使用默认端口监听web服务,一般不需要通过web方式进行远程管理,建议禁用。修改配置文件或在启动的时候选择–nohttpinterface 参数nohttpinterface=false
:限制绑定IP:
启动时加入参数
–bind_ip 127.0.0.1
或在/etc/mongodb.conf文件中添加以下内容:
bind_ip = 127.0.0.1

参见:【脉搏沉淀系列】未授权访问漏洞总结

Posted in 校园网安全 | 6 Comments »

信息技术研究院(网络中心)联合东北大学信息安全协会获得2017年高校网络信息安全管理运维挑战赛“全国三等奖,东北地区二等奖”!

Posted by 王宇 on 15th 十一月 2017

信息技术研究院(网络中心)联合东北大学信息安全协会参加2017年高校网络信息安全管理运维挑战赛。经过10月26日下午第一阶段三个小时安全理论知识在线答题和11月2日第二阶段CTF形式的实践赛,最终我校团队(东北大学信息安全协会的孙文彬,李虹达,辛佳橼,陈瀚韬等软件学院同学和网络中心王卫东、吴炜鑫、温占考、王宇等老师)在此次213所参加高校中,取得“全国第6名,东北地区第2名”的好成绩。

在11月9日召开的2017年高校网络信息安全学术年会上,我校团队获得2017年高校网络信息安全管理运维挑战赛“全国三等奖,东北地区二等奖”!

信息技术研究院(网络中心)作为学校校园网络软硬件建设和信息化建设技术支撑的主要部门,希望以此为契机,不断发展师生结合的信息安全支持团队,提高我校信息化建设过程中的信息安全保障水平,为学校发展贡献力量!

参见:
信息技术研究院(网络中心)联合东北大学信息安全协会获得2017年高校网络信息安全管理运维挑战赛“全国第6名,东北地区第2名”好成绩!
信息技术研究院(网络中心)联合东北大学信息安全协会参加2017年高校网络信息安全管理运维挑战赛

欢迎大家关注:东北大学信息安全协会中国高等教育学会-教育信息化分会-网络信息安全工作组安全百科2017年全国高校网络信息安全管理运维挑战赛信息技术研究院(网络中心)联合东北大学绿盟科技俱乐部获得2016年“安恒杯”高校安全运维挑战赛全国二等奖,东北地区一等奖!

获奖证书

获奖奖杯

颁奖现场

Posted in 校园网动态 | 2 Comments »

信息技术研究院(网络中心)联合东北大学信息安全协会获得2017年高校网络信息安全管理运维挑战赛“全国第6名,东北地区第2名”好成绩!

Posted by 王宇 on 7th 十一月 2017

信息技术研究院(网络中心)联合东北大学信息安全协会参加2017年高校网络信息安全管理运维挑战赛。继10月26日下午在第一阶段三个小时安全理论知识在线答题中取得“全国第4名,东北地区第1名”成绩之后,我校团队在11月2日(9:30~16:30)CTF形式的实践赛中取得“全国第20名,东北地区第5名”。根据此次比赛的成绩核算方法,最终我校团队在此次213所参加高校中,取得“全国第6名,东北地区第2名”的好成绩,根据目前的奖励等级安排,我校团队在此次比赛中应该会获得“全国三等奖,东北地区二等奖”,正式获奖情况将在11月9日高校网络信息安全工作组的2017年会上确认。

信息技术研究院(网络中心)作为学校校园网络软硬件建设和信息化建设技术支撑的主要部门,希望以此为契机,不断发展师生结合的信息安全支持团队,提高我校信息化建设过程中的信息安全保障水平,为学校发展贡献力量!

本次大赛全部线上进行,分为安全理论考察和动手实践锻炼两个阶段,各占总成绩的50%。本次大赛定位于普及和培养中高级安全运维人才,非高难度安全竞技比赛。
1)安全理论部分:标准化测试(选择题),3小时。团队所有成员均可参加,最后取最好成绩(折合为百分制)。考察点包含但不限于以下内容:
信息安全法律法规、信息安全管理体系、风险管理、安全工程、应急响应、灾难备份与恢复、物理安全、信息安全标准、信息安全模型、密码技术、网络与通信安全基础、网络安全应用、操作系统安全、Web与数据库安全管理、恶意代码防护、安全编程、安全攻防等。
2)动手实践部分:CTF(Capture The Flag)竞赛模式,8小时。以团队为单位参加,取最后总得分(折合为百分制)。考察点包含但不限于以下内容:
操作系统和网站应用服务器安全、网站多种语言源代码阅读分析(特别是PHP和JAVA)、数据库管理和SQL语句、Web漏洞挖掘和利用(SQL注入和XSS等)、信息搜集能力、编程能力考察、移动应用安全、计算机取证技术和文件恢复、网络基础以及对网络流量的分析能力。每个团队理论与实践成绩累加,满分为200分。

欢迎大家关注:东北大学信息安全协会中国高等教育学会-教育信息化分会-网络信息安全工作组安全百科2017年全国高校网络信息安全管理运维挑战赛信息技术研究院(网络中心)联合东北大学绿盟科技俱乐部获得2016年“安恒杯”高校安全运维挑战赛全国二等奖,东北地区一等奖!

全国参赛高校成绩排名和拟颁奖项情况

CTF形式实践比赛全国排名情况

东北地区参赛高校成绩排名

Posted in 校园网动态 | 3 Comments »