作者:田民
在阿里云云盾新近的日常运营中,我们截获了黑客利用某些阿里云用户网站存在FTP匿名漏洞上传后门程序的攻击行为。下图是某黑客的入侵记录:
FTP匿名登录是指网站允许用户使用Anonymous或FTP作为用户名以用户信箱做为口令(确切的说是任何带@的口令)登录到系统。虽然严格意义上讲,匿名FTP本身并不是个代码级漏洞,但是黑客可以利用这个配置上漏洞入侵系统上传木马,或下载敏感数据。网站存在FTP匿名漏洞往往是因为管理员在进行网站配置时的疏忽大意所致,造成潜在安全隐患。
在对捕获攻击行为的分析中,我们发现某些网站开启了FTP匿名登录和写入权限,这是非常危险的。在上面的入侵记录截图中,我们可以看到,某黑客正是利用网站开启了FTP匿名写权限,上传了一个php木马。木马上传后,网站安全将不复存在。
除此之外,我们提醒站长用户即便未开启写入权限,单纯开启读取权限也是非常危险的。在阿里云云盾的运营工作中,我们发现有黑客利用FTP匿名登录后,读取源代码文件,分析出某些敏感目录的路径(如后台管理路径),再通过暴力破解等方式登入系统。更危险的是,在某些目录中存放大量的网站数据备份文件(用户/业务数据和网站源代码等),黑客下载这些文件/数据可能会造成更大程度的危害。
因此,我们建议网站站长(在没有业务需要的前提下)关闭FTP匿名登录的功能。下面列举Windows和Linux系统关闭FTP匿名登录的方法:
1. Windows系统关闭FTP匿名登录的方法:
确认“允许匿名连接”的选项为空。
2. Linux系统关闭FTP匿名登录的方法:
修改/etc/vsftpd.conf配置,
1 # Access rights
2 anonymous_enable=NO
3 no_anon_password=NO
修改完成后,重启FTP服务。
对于某些需要开启FTP匿名服务的网站(虽然我们的建议是不要开启),以Windows系统为例,我们提出如下建议:
1、将FTP匿名登录目录指向非网站目录,如临时目录 /temp/
2、使用ftp目录下的文件时,确认文件是否被人篡改过,即确认文件的安全性和可信性,如校验md5等。
这样可以在一定程度上提高FTP匿名服务的安全性。