iT邦幫忙

2025 iThome 鐵人賽
DAY 10
0
Security

從1到2的召喚羊駝補破網之旅系列 第 10

Day 10 :從模仿中學習

17th鐵人賽
12 瀏覽

  • 分享至 

  • xImage
    •  

[鐵人賽] Day 10:⚔️ 從稽核報告到防禦落地

寫在前面(心境篇)

今天收到資安週報雖然都是些老朋友了,滿滿的掃描與漏洞告警:

  • PowerDNS Recursive Out-of-Bounds Read(DoS)
  • SIPVicious 掃描 1104 次
  • VxWorks WDB Agent 掃描 147 次
  • RPC Portmapper DUMP 186 次
  • ZGrab Application 掃描 3 次

心裡想:「是不是我也來把這些研究透測以後當成我自己的工具?」

逐項檢測說明與防護建議

1) PowerDNS Recursive OOB Read(High)

  • 在幹嘛:利用程式 bug 觸發 out-of-bounds read,導致 DoS。

  • 痕跡:DNS resolver 崩潰、segfault、查詢失敗。

  • 防護

    • 立刻確認 PowerDNS 版本並升級。
    • 若不能升級,用防火牆/ACL 限制來源 + DNS rate-limit。

2) SIPVicious Scanner(Medium, 1104 次)

  • 在幹嘛:列舉 SIP extensions、測試弱密碼。

  • 痕跡:UDP/TCP 5060 大量 REGISTER/OPTIONS。

  • 防護

    • 防火牆限制必要 IP。
    • 帳號鎖定、強密碼、多因素。
    • SBC/IPS 偵測大量 OPTIONS/REGISTER。
    • Fail2ban:針對 PBX log 失敗登入自動封鎖來源。

3) Metasploit VxWorks WDB Agent 掃描(Medium, 147 次)

  • 在幹嘛:掃描 VxWorks 的除錯介面(WDB Agent)。

  • 痕跡:針對 WDB port 的握手請求。

  • 防護

    • 確認環境中是否存在 VxWorks 裝置。
    • 關閉或限制除錯 port,只允許管理 VLAN。
    • 生產環境關閉 WDB 功能。

4) RPC Portmapper DUMP(Medium, 186 次)

  • 在幹嘛:列舉 RPC 程式與埠 → 收集情報。

  • 痕跡:tcp/111 請求、服務列表回傳。

  • 防護

    • 封鎖對外 port 111。
    • ACL 僅允許管理主機查詢。
    • 檢查是否有未補丁的 RPC 服務。

5) ZGrab Application Layer Scanner(Medium, 3 次)

  • 在幹嘛:快速抓 web/TLS banner,常搭配 zmap。

  • 痕跡:大量 GET/HEAD,UA = zgrab。

  • 防護

    • WAF / ModSecurity + CRS。
    • rate limiting。
    • 確認憑證與 header 沒洩漏敏感資訊。

工具落地(實作篇)

✅ Suricata

安裝:

sudo apt update
sudo apt install -y suricata

範例規則(local.rules):

alert udp any any -> $HOME_NET 5060 (msg:"ET SCAN SIPVicious"; content:"OPTIONS"; nocase; sid:1000001;)
alert tcp any any -> $HOME_NET 111 (msg:"RPC Portmapper enum"; sid:1000002;)
alert tcp any any -> $HOME_NET 80 (msg:"HTTP Scan zgrab UA"; content:"User-Agent: zgrab"; nocase; sid:1000003;)

✅ Fail2ban

安裝:

sudo apt install -y fail2ban

範例 jail.local:

[asterisk-sip]
enabled = true
port    = 5060
logpath = /var/log/asterisk/messages
maxretry = 5
bantime = 86400
findtime = 3600

✅ ModSecurity(WAF)

sudo apt install -y libapache2-mod-security2
sudo a2enmod security2
sudo systemctl restart apache2

建議啟用 OWASP CRS,擋掉大部分掃描與 PoC 嘗試。

✅ PowerDNS 緊急處置

升級 Recursor:

sudo apt install --only-upgrade pdns-recursor

若不能升級:

  • 限制外部查詢
  • DNS ACL + rate-limit

結語

把偵測到的攻擊/掃描轉換成 可落地的規則與補丁 才是最實在的。


上一篇
Day 9 :窺見一點點未來的方向
下一篇
Day 11:召喚別的名單變成我的
系列文
從1到2的召喚羊駝補破網之旅13
  1. 9
    Day 9 :窺見一點點未來的方向
  2. 10
    Day 10 :從模仿中學習
  3. 11
    Day 11:召喚別的名單變成我的
  4. 12
    Day 12 :弱點存在通知
  5. 13
    Day 13 :鐵人賽第二個週末再來打副本
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
12497
完賽人數
107
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 17th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react
熱門問題
熱門回答
熱門文章
IT邦幫忙