这是一个创建于 1777 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的本地环境:openssl1.1.1d + nginx 1.17.5,后续升级到 libressl。 已卸载旧版本 openssl httpd 等无关软件。 我本地早就设了 2048 的 key,并且禁用一切 DH 算法。
上个月机房漏洞扫描,检测出两个漏洞,要求整改,并对主机进行了下线处理。
1.服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) [原理扫描]
扫描工具绿盟,建议解决方式为 nginx 升级到 0.8.x+
2.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱 [原理扫描]
绿盟建议为设一个 2048 位的 key。
即便 nginx 关闭 443 端口,机房仍然说主机 443 已开启,能扫到 https 漏洞。
百思不得其解,机房坚称自己无问题,要我方签署明知有漏洞责任书,才给开通主机。
求大佬指点下如何解决。
当 nginx 关闭 443 端口时,机房有时候说我 443 是关的,有时候说我是开的,没谱……
当使用 nginx 端口 443 作为普通接口时,仍然说是 https 漏洞。
 |
1
hefish 2020-01-06 21:20:23 +08:00
这些扫描感觉都是根据版本号判断的,有些补上了漏洞,它们也不管。
|
 |
2
Greenm 2020-01-06 21:44:18 +08:00 via iPhone
明确告诉你,就是绿盟的扫描器垃圾,这样明显的误报也能报出来
|
 |
3
zjsxwc 2020-01-06 22:00:38 +08:00 via Android
破事真多,换机房不行吗
|
 |
4
NerverLibis OP @hefish 我已经修改了 openssl 的 s_client 的 C 扩展,关闭了重协商,对方还说有这个漏洞,费解,而且我压根没开 443……
|
|
5
NerverLibis OP @zjsxwc 政务云,不能换,不能调,只能……
|
|
6
NerverLibis OP @Greenm 绿盟的防火墙,华为的路由器,微软的 SAS,怎么就成这样了,唉
|
 |
7
realpg 2020-01-06 23:16:39 +08:00
该送礼就送礼就完事了
|
|
8
realpg 2020-01-06 23:16:49 +08:00
该买人家要你买的软件你就买
|
 |
9
hasdream 2020-01-07 02:24:00 +08:00 via Android
我遇到过说 nginx 有漏洞让我升级,我没升级,隐藏版本号,别人就不要求整改了。 扫描器都是根据版本查 cve 漏洞。
|
|
10
NerverLibis OP @hasdream 问题我没开 443,机房非说我开了,还让我写承诺书,明知道自己主机有漏洞仍然上线,承担行政责任,绿盟的锅强行要我背
|
|
11
NerverLibis OP @realpg 懒得动,服务器关就关呗,破东西不好用,走行政投诉招标局
|
 |
12
Showfom 2020-01-07 02:48:34 +08:00  2
还有个很傻逼的原因可能大家都会忽略,可不可能是机房给输错 IP 了,你的 IP 和真有漏洞的 IP 很像,然后给弄混淆了
别笑,这事情真发生过很多次 |
 |
13
MrUser 2020-01-07 08:49:46 +08:00
端口的问题是不是因为防火墙没有关闭 443,
虽然 nginx 不使用 443,但 443 可能还是对外开放着,只是这个端口上可能没有提供服务的程序 |
 |
14
ycookie 2020-01-07 09:25:11 +08:00
@NerverLibis 问个题外话,转运维,工资降多少?
|
|
15
NerverLibis OP @MrUser 绿盟只能在防火墙关闭的时候使用,所以全端口都应是开放的…当没应用监听 443 时,也不应出现 https 漏洞,因为没握手
|
|
16
NerverLibis OP @ycookie 降 2000
|
|
17
NerverLibis OP @Showfom 漏扫报告是经常给错,IP 还是对的,此机房下所有服务器都有 DH 公钥过弱漏洞,但是机房就说自己没错,没漏洞,睁眼说瞎话,我也不知道怎么办了
|
 |
18
Songxwn 2020-01-07 10:06:37 +08:00 1
开发居然转运维,当背锅侠吗?
|
|
19
NerverLibis OP @Songxwn 冷冬恰饭,难,2019 年失业三个月,换了四家公司,精准投了至少 500 份简历,全北京投遍没有活路,语言是 PHP
|
 |
20
lvzhiqiang 2020-01-07 10:19:49 +08:00
让他给扫描报告你看看,详细的报告,报告 IP 之类信息。 不然凭嘴说能确定是不是你的服务器?
|
|
21
NerverLibis OP @lvzhiqiang 是我的 IP,但是没开的端口报错
|
 |
22
PolarBears 2020-01-07 10:50:47 +08:00
整改的话就正常整改吧,然后添加防火墙规则只允许自己单位的 IP 段访问,如果必须通过政务云的堡垒机来访问控制主机的话,也可以想想办法把他搞通到本地可以不通过堡垒机连接.
|
 |
23
TanLeDeDaNong 2020-01-07 16:11:26 +08:00
和老哥不一样的是,我是离职大休 6 个月出来发现大清亡了,果断三线运维恰饭。
|
|
24
lvzhiqiang 2020-01-07 16:23:29 +08:00
@NerverLibis 最好详细看看漏洞报告,一般报告会有修复建议的。按照修复建议操作,基本上就没问题了。
|
|
25
NerverLibis OP @lvzhiqiang 绿盟给的解决方法也算是简洁粗暴,且无用。在本地 nginx 版本为 1.17.5 的情况下,给我提示 10 年前的版本……
Nginx 解决办法: 0.7.x 升级到 nginx 0.7.64 0.8.x 升级到 0.8.23 以及更高版本。 http://nginx.org/en/download.html |
|
26
Showfom 2020-01-07 17:21:47 +08:00 via iPhone
@NerverLibis 哦 那简单,直接把机房的 ip 用 iptables 屏蔽掉 机房 ip 会找吧?
|
|
27
NerverLibis OP @Showfom 不开防火墙 机房不给扫描…
|
 |
28
kawowa 2020-01-07 19:31:59 +08:00 via Android
同样遇到过这类事情,是在最后验收的时候,甲方会请等保评测的人过来扫漏洞,然后说要 tomcat 版本在多少多少以上才能避免漏洞。
但问题是我明明是 Apache 官网上下载的最新版... 解决方法同上,隐藏版本号即可。 |
|
29
Showfom 2020-01-07 21:15:06 +08:00
@NerverLibis 那你编译个 nginx 把 nginx 改成其他的名称 比如什么 saonima 版本号 233
|
|
30
NerverLibis OP @Showfom nginx 是编译的最新版本,版本号 off 过了,通信隐藏不掉 web 服务器的,协议可以看到 http 头 服务器类型,明天我准备去机房物理停机,再查再看
|
|
31
NerverLibis OP @kawowa 专家评审 等保测评 等保备案都过了。
|
 |
32
msg7086 2020-01-08 02:32:14 +08:00
@NerverLibis #30 编译的时候没改源代码吗?怎么可能隐藏不掉 Web 服务器。
https://g.x86.men/root/nginx-pika/commit/274a5d7e0c196008d2fed248c6b6aa93b3248771 |
|
33
Showfom 2020-01-08 08:29:26 +08:00 via iPhone
@NerverLibis 可以隐藏的 自己改源码 改成楼上的 IIS
|
 |
34
2379920898 2020-01-08 08:43:59 +08:00
可以换个城市啊,
|
|
35
lvzhiqiang 2020-01-08 09:13:54 +08:00
@NerverLibis 那没办法,他们的漏洞策略陈旧。很好奇,他们没更新策略的么?
|
|
36
NerverLibis OP @lvzhiqiang 机房分包,防火墙 路由器 sas 机房运维由四家公司分别负责
|
 |
37
xenme 2020-01-08 09:21:41 +08:00 via iPhone
上有政策下有对策
扫描大多就是根据特征匹配,发现你用了啥,某个版本就直接报,所以针对性改改伪装下就好了,自己确定补丁和漏洞打了就行 |
 |
38
lc7029 2020-01-08 09:43:11 +08:00
一般来说漏扫是根据软件版本号扫描,就算修复了漏洞,软件版本不变一样会报漏洞。
扫描器 IP 不能墙掉,我们曾在交换机上做了 ACL,deny 掉漏扫的流量,被找过来了。。。 另一种可能就是楼上说的,机房给错 IP 了。 另外,建议 LZ 找专业运维咨询,开发和运维的思路差别很大。 |
|
39
NerverLibis OP |
|
40
msg7086 2020-01-08 17:52:11 +08:00
@NerverLibis 这机房也……太水了吧,交换机上不做保护吗……偷 IP 还行……
|
|
41
hefish 2020-01-08 20:21:33 +08:00
@NerverLibis 卧槽,有一种想打人的冲动。
|
 |
42
jugelizi 2020-01-08 21:28:47 +08:00
哈哈
同样给政|-府系统维护 然后 他们有个二级域名另外一家的系统爆漏--洞 整改通知书发我这里来了 |
|
43
lc7029 2020-01-09 01:03:15 +08:00
@NerverLibis 日。。。这机房这么水。。。居然不做隔离的?划个子网也行啊。。。
|
Select Language