前言 开源管理软件虽然功能和易用性上赶不上商用软件，但是由于其免费、可定制、社区活跃而被广大系统管理员广泛使用。黑客经常利用其配置不当（代码漏洞的本文不描述）轻松入侵生产网络。工作中经常遇到粗心大意的

前言

开源管理软件虽然功能和易用性上赶不上商用软件，但是由于其免费、可定制、社区活跃而被广大系统管理员广泛使用。黑客经常利用其配置不当（代码漏洞的本文不描述）轻松入侵生产网络。工作中经常遇到粗心大意的管理员由于配置不慎导致被入侵的事件，本文将结合实际case来介绍常见开源管理软件由于配置不当导致的安全问题，并给出安全建议。

zabbix

zabbix（音同 zæbix）是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。

乌云最后报道的几个由于zabbix导致入侵的案例如下：

默认口令/弱口令

这个基本是通病，admin/zabbix,zabbix/zabbix不再赘述

命令执行

这个就非常强大了，zabbix可以在部署了zabbix agent的服务器上执行系统命令，如果你碰巧使用root权限启动的agent，那就可以以root权限执行任意命令了。这是可选功能，不需要的话可以关闭。

加固建议

• 不要用默认口令或弱口令

• 限制访问来源，限制仅办公网IP可以访问

• zabbix的server和agent都不要以root启动，不要设置AllowRoot=1

• 禁止agent执行system.run，不要设置EnableRemoteCommands=1

Jenkins

Jenkins是一个开源软件项目，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。

未授权

允许匿名访问

命令执行

可以在部署了 Jenkins的服务器上执行系统命令（系统管理-脚本命令行），通常上传webshell后进一步提权到root权限。命令执行是他正常功能，还没法关闭。

对应的url为：

http://www.yourdomain.com:8080/manage

http://www.yourdomain.com:8080/script

加固建议

• 配置鉴权，禁止匿名访问

• 限制访问来源，限制仅办公网IP可以访问

phpmyadmin

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料的汇入及汇出更为方便。

乌云最后报道的几个由于phpmyadmin导致入侵的案例如下：

弱口令/空口令

root空口令最常见

操纵数据库

具有数据库管理员的权限，创建/删除用户、数据库、数据

拖库

把数据库里面的数据偷走。

命令执行

Windows服务器，可添加一个UDF，直接执行任意系统命令。linux服务器也可以通过SQL语句执行系统命令。

读取系统文件

mysql的load-file功能

加固建议

• 配置鉴权，禁止匿名访问；配置强密码。

• 限制访问来源，限制仅办公网IP可以访问。

本文由“兜哥带你学安全账号”发布，2017年01月19日