我们专注服务于当下互联网基础设施建设与云计算、大数据时代的各种需求!

windows多款操作系统受0day攻击工具泄露,包括3389rdp远程等

 北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分对windows进行远程攻击的文件,解压密码是 “Reeeeeeeeeeeeeee”。‘

  我们总结了一下:对网维影响最大的是 会导致 开放了 3389 RDP 远程服务,以及开放了445端口等文件共享服务器,被远程入侵攻击。
sklinux总结的暂时解决办法

  1,web服务器还在使用iis6的,进行升级最新版本的IIS,或者换其它WEB服务器.

  2,关闭共享服务(services.msc中的 server 服务停止),

  3,关闭3389端口,如果一定要使用RDP远程,强烈建议更改3389为其它端口,但此举并不能彻底解决此问题。建议更换radmin或者用深蓝三层远程。(深蓝三层远程的3389,radmin等远程穿透不需要外网端口开放,相对安全性更高。)

  4,关闭和限制 137、139、445,3389  端口的使用,或者用防火墙限制这些端口只能指定的IP或者MAC使用。

  5,等待微软最新的补丁,并第一时间打上。

  目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(几个重要的列举如下):

  • EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具
  • ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
  • 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
  • ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。
  • FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
  • ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
  • ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。

      不放不要紧,放出来吓坏了一众小伙伴。这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。

服务器维护应该注意的四点

1、一般客户购买服务器时,服务器托管商会帮客户免费装好操作系统,之后会将服务器权限给到客户手中,而许多客户拿到密码权限之后也不去修改一下,试一下能登录认为就OK了,其实这样的做法非常危险,提醒广大客户在重装系统之后一定要尽快修改服务器密码,最好是定期的更换密码,如果您的服务器放置的数据非常重要,就更加重视密码保护意识,不要太相信网络了。

2、设置服务器防火墙的时,有些客户对防火墙设置并不熟悉,随意进行开启设置远程端口,结果导致服务器无法登录,然后就埋怨机房服务器问题或者是运营商工作人员服务技术不到位,一般情况下,客户服务器时服务商都会根据业务对服务器防火墙进行设置,之后客户就不要自己在去随意更改设置了,确实需要修改的时建议在本地电脑上测试好之后再到服务器上操作,避免出现设置错误影响服务器正常使用。

3、部分客户经常会在服务器里面下载东西或者浏览网页甚至是聊天玩游戏等,虽然能够快速响应要求,但服务器并不是台式机,它也不是用来仅仅做以上这些的,而且这样做很有可能把安全隐患带进服务器,导致服务器被入侵,数据被盗等情况,建议不要在服务器上运行可能会带来安全问题的应用程序。

4、服务器数据备份是管理员维护中非常重要的工作之一,事实上许多企业客户和个人客户都没有重视起来,无所谓的随意交给其他人员去做,而这些人员又不知道数据备份的重要性很容易忽视忘记了这个工作任务,也有一些客户把数据备份的工作直接让服务商去做,大部分服务商是不愿意为客户数据进行备份的,因为服务商也难免会遇到备份数据遗漏或者丢失的情况,况且数据存储也是一个比较大的问题。所以建议客户自己要进行不定期的备份数据,重要数据在自己手中掌握不是更放心吗;如今网络攻击不断,难保服务器会遭受入侵攻击的情况,此时有了备份就多了一份保障,所以没有经常备份数据意识的朋友们一定要注重起来,看完本文之后快去备份一下服务器数据!

Google SRE 参会总结

Google SRE 参会总结

近期有幸参加了一个小型的运维会议,同《SRE:Google 运维解密》的译者进行面对面的沟通,收益匪浅。会议上大家的讨论非常热烈,话题主要集中在以下几个方面:

什么是SRE,职责是什么?

SRE全称Site Reliability Engineering,是Google内部的一个运维职位,主要职责是保障服务的可靠性和性能,同时负责数据中心资源分配,为重要服务预留资源,该职位不负责某个具体业务的上线和部署。

SRE分为产品SRE和平台SRE。产品SRE负责某个具体产品相关的所有组件的运维,而平台SRE则负责诸如主机计算能力,数据库资源等PaaS资源。按照我个人的简单理解,前者是以业务为单位的纵深管理,后者是以平台为基础的横向管理。不论何种SRE,在我看来,这个职位都对个人能力有较高的要求,非传说中的全栈工程师莫属。
(更多…)

Ansible常用模块

Ansible常用模块
Ansible通过模块的方式来完成一些远程的管理工作。可以通过ansible-doc -l查看所有模块,可以使用ansible-doc -s module来查看某个模块的参数,也可以使用ansible-doc help module来查看该模块更详细的信息。下面列出一些常用的模块:

1. setup

可以用来查看远程主机的一些基本信息:

ansible -i /etc/ansible/hosts test -m setup

(更多…)