Navigation

    Odoo 中文社区

    • Register
    • Login
    • Search
    • Categories
    • Tags
    • Popular
    • Users
    • Groups

    Odoo中文社区可以通过以下两个域名访问:shine-it.net , odoo.net.cn

    由于系统升迁的原因,本论坛部分较早期的内容存在格式和链接损坏失效的问题,并非本论坛系统本身的缺陷,望谅解

    本社区没有维护任何QQ群讨论组,任何与本社区同名的QQ群讨论组的言论与本社区无关!

    开发人员可以登录gitter讨论组: http://gitter.im/odoo-china/Talk, 需要github账号

    如果您登录系统碰到问题,请在微信公众号留言:

    安全公告-ODOO-SA-2017-01-27-1

    公告发布
    2
    2
    3008
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • digitalsatori
      digitalsatori 管理员 last edited by

      最近发生并持续进行中的暴力破解网上Odoo运行实例的问题

      受影响者: 所有互联网可访问的拥有默认访问密码或弱密码保护的Odoo安装实例
      发现者: Christophe Hanon
      发现日期: January 27, 2017
      OVE ID: OVE-20170127-0001

      该问题需引起所有Odoo系统管理员高度重视,尤其是安装有可通过互联网访问的Odoo实例的个人或公司

      下文是先安科技提供的简要中文版本,全文请参见:https://github.com/odoo/odoo/issues/15251

      攻击者通过不同的IP地址对互联网上多个网段进行扫描以发现在多个常用端口(比如:8069,80, 443, 或其它)上对XML-RPC请求做应答的Odoo服务器。

      已知的扫描攻击者IP: 164.132.96.170, 197.2.230.86
      已知的攻击时段: 2017年1月19日 至 20171月27日 (并仍在继续!)

      在定位到Odoo服务器后,攻击者会用默认密码admin/admin尝试登录(官方安全报告中只提到了使用默认密码的攻击,译者认为非常容易演化为字典攻击,就是所有简单密码都可以很快被暴力破解)

      被攻击的机器可能在log里有多个尝试使用admin用户登录并失败的记录:

      (...) Login failed for db:<DB_NAME> login:admin

      如果被猜中密码,登录成功则会有:

      (...) successful login from 'admin' using database '<DB_NAME>'

      若被攻击者登录系统,攻击者会从Odoo的App Store下载:upload_github_odoo 恶意模块,Odoo公司在1月25日从其App Store移除了该恶意模块,之后攻击者再次以其它名字发布该模块,再次被移除。

      被攻击者的log信息中会留下类似下面的记录:

      (...) Downloading module <MODULE> from github
      (...) Copy downloaded module <MODULE> to <LOCAL_PATH>

      到这个阶段,您的Odoo服务器已经被彻底控制,攻击者可以通过XML-RPC对服务器执行任何指令。

      当前Odoo公司已经紧急停止了通过App Store一键安装Odoo模块的服务,以防止攻击者通过更名方式上传恶意模块。(一键安装模块服务会在未来安全策略更新后重新推出)

      请系统管理员根据以上的信息检查您安装的Odoo服务器,若发现有被攻击的现象请立即将服务器离线做进一步的检查分析。

      1 Reply Last reply Reply Quote 0
      • mrshelly
        mrshelly last edited by

        B/S安全问题值得关注..

        大家如有需要, 可以使用数字证书来应对...

        1 Reply Last reply Reply Quote 0
        • First post
          Last post