Ich glaube, einer der häufigsten Exploits auf MSF, Reverse TCP durch Pufferüberlauf, ist mein Problem. Kann ich meine TCP-Ports irgendwie stoppen oder verwalten, um den Zugriff auf Rhosts zu verweigern und vor dieser Art von Angriff sicher zu sein?
Antwort1
Es gibt keinen Exploit, der auf Reverse-TCP basiert. Reverse-TCP ist lediglich die Möglichkeit für den Angreifer, einen Kommunikationskanal mit dem ausgenutzten Host zu erhalten.
Sie können versuchen, die Wahrscheinlichkeit zu minimieren, dass ein Angreifer eine Rückwärtsverbindung öffnet, indem Sie ausgehende Firewall-Regeln verwenden, die Ihren Servern den Zugriff auf Ports verwehren, die sie nicht benötigen. Auch wenn Ihr Server Ports geöffnet und Dienste veröffentlicht haben muss, bedeutet das nicht, dass er uneingeschränkten Zugriff auf die Außenwelt haben muss. Ich würde empfehlen, alles außer vielleicht SMTP zu blockieren, wenn es sich um einen Mailserver handelt, und wenn Sie HTTP/HTTPS benötigen, tun Sie dies über einen Proxy. Dies würde Ihren Server daran hindern, eine Rückwärtsverbindung zu öffnen, um eine Remote-Shell an die IP-Adresse des Angreifers zu senden. Außerdem würden die meisten Intrusion Prevention Systems einen Alarm auslösen, wenn sie abnormalen ausgehenden Datenverkehr feststellen.
Das Beste wäre natürlich,Verhindern Sie, dass der ausgenutzte Dienst überhaupt kompromittiert wird, indem Sie den Härtungsleitfäden des Anbieters folgen, Dienstkonten mit den zum Ausführen dieser Dienste erforderlichen Mindestberechtigungen verwenden und Ihre Software auf dem neuesten Stand halten. Fast jedes Exploit-Modul, das Sie in MSF finden, wurde zum Zeitpunkt der Veröffentlichung bereits vom Anbieter gepatcht.