Один из самых распространенных эксплойтов на msf, обратный tcp через переполнение буфера, я полагаю, это мое беспокойство. Могу ли я каким-либо образом прекратить управлять своими tcp-портами, чтобы запретить предоставление доступа rhosts и стать защищенным от этого типа атак?
решение1
Не существует такого понятия, как эксплойт, основанный на обратном TCP, обратный TCP — это всего лишь способ, с помощью которого злоумышленник получает канал связи с эксплуатируемым хостом.
Вы можете попытаться свести к минимуму вероятность того, что злоумышленник откроет обратное соединение, используя исходящие правила брандмауэра, которые запрещают вашим серверам получать доступ к портам, которые им не нужны. Даже если вашему серверу нужно открыть порты и опубликовать службы, это не значит, что у него должен быть неограниченный доступ к внешнему миру, я бы рекомендовал заблокировать все, кроме, может быть, SMTP, если это почтовый сервер, а если вам нужен HTTP/HTTPS, делайте это через прокси. Это не позволит вашему серверу открыть обратное соединение для обслуживания удаленной оболочки на IP-адресе злоумышленника. Кроме того, большинство систем предотвращения вторжений выдадут предупреждение, если увидят ненормальный исходящий трафик.
Лучше всего было бы, конечно,предотвратить компрометацию эксплуатируемой службы в первую очередь, следуя руководствам по усилению защиты поставщика, используя учетные записи служб с минимально необходимыми привилегиями для запуска этих служб и поддерживая свое программное обеспечение в актуальном состоянии. Почти каждый модуль эксплойта, который вы найдете в MSF, уже исправлен поставщиком к моменту его публикации.