我在阿里云防火墙屏蔽掉 mysql 端口（mysql 拒绝一切外网 IP），为什么人家还是可以扫描出漏洞

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 1231 天前的主题，其中的信息可能已经有所发展或是发生改变。

阿里云防火墙的配置规则是：
1.默认拒绝一切连接，只开放 80，443，ssh （换高位端口号）
2.ssh 只允许阿里云局域网内另一台跳板机进行连接，公网是无法直连 ssh 的

我们的主营业务都是一些事.业单位的网站以及公众号，前些天合作方管信息安全的部门说我们的网站有漏洞，都集中在 mysql 和 ssh

我们的系统都是部署在阿里云的，难道阿里云的防火墙还能放行某种连接，让别人获得 mysql 和 ssh 版本信息？

求网络安全的大佬解答。。。。

第 1 条附言 · 2020-12-11 14:53:39 +08:00

鉴于单.位.领.导必须要求修补漏洞，不然会影响他们的年度政~绩

目前解决办法：

1.对 mysql 打补丁 or 升级版本，因为那台主机配置高，承载的业务也很多，重度依赖 mysql，对其升级，可能会带来不可预料的事情发生

2.除了阿里云的防火墙，Centos 内的 iptable 也开启

3.开跳板机（上面的软件和系统最新），修改域名解析地址指向跳板机，而跳板机转发 http/https 流量到业务主机，让扫描者扫描跳板机

MySQL

ssh

防火墙

阿里

12 条回复 • 2020-12-11 14:57:17 +08:00

codehz

2020-12-11 12:38:52 +08:00 via Android

说明已经进入到内网渗透的步骤了

agdhole

2020-12-11 12:48:31 +08:00

也可能是网站程序被黑了？

jptx

2020-12-11 13:15:24 +08:00

是不是他们把扫描程序放到你的服务器里了，可能是别人配合放的

ericwood067

2020-12-11 13:16:25 +08:00

你的 mysql 既然要拒绝一切外网 ip，直接监听 127.0.0.1 好了。有内网访问需要都话，在机器上也要启用自己都防火墙，只允许特定 ip 访问。
阿里云的防火墙没用过，不知道能不能阻止内网其他机器对你的攻击；你的客户请的测试团队可能通过阿里内网对你进行了攻击测试；所以不能完全依赖阿里的防火墙。