关于Branch_SmartbiV80_20180401版本自带mysql被渗透攻击问题

Branch_SmartbiV80_20180401版本自带mysql服务被暴力入侵。

 

 

对于您反馈的问题，
1、漏洞是MySQL弱口令。Smartbi一键部署安装的MySQL修改密码详情见wiki文档说明：https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=76678923
2、Smartbi是以JDBC方式与数据库连接，因此数据库密码变更之后是需要在系统配置中修改知识库配置的，这一点与常规的JDBC数据库工具无异；
3、目前一键部署安装的tomcat在启动脚本上是会检测该数据库运行情况并一同启动，这是为了便利提供用户一站式服务，如若不需要自启动该数据库，建议可以修改tomcat启动脚本startup.cmd中的以下部分内容，或者考虑自行安装Tomcat手工部署Smartbi;

4、EXE一键部署的Smartbi程序中并没有强制要求使用自带的MySQL数据库作为知识库，若该mysql不符合项目要求，建议考虑连接其它数据库或者自行安装MySQL作为知识库使用。

本漏洞在香山网盾网络攻防演习攻击队成果报告中被渗透发现，导致扣分严重。

修改mysql用户名密码可参考网上资源修改：https://www.dbs724.com/90621.html

再次说明一下，smartbi那个mysql无法用传统的方式修改密码，所以各位注意这个mysql可能被攻击入侵。其次，启动服务那个图标按钮会自动打开mysql服务，但是关闭服务那个图标按钮可不会关闭mysql服务的，我攻击演练就在这里翻车了，smartb关闭了，后面mysql还在偷偷的运行。

而且存在注入风险页面，所以各位自求多福。未解决之前我司决定停用。

 

 

亲爱的麦粉您好，首先申明您所指出的漏洞其实是mysql的弱口令漏洞，并不是Smartbi版本漏洞；

 

为了方便用户体验产品，Smartbi的exe一键部署是自带知识库的，但允许用户根据实际需求修改数据库类型，也可以对数据库的账号密码进行修改。如果是生产环境，建议知识库或系统都做好安全防范，我们有完整的安装部署方案，如有需要可以通过项目申请获取。

 

如果在项目中遇到任何问题，可随时通过工单支持寻求售后团队帮助，也可以在社区进行反馈，同时我们也非常欢迎您分享问题解决的方法和过程与大家交流哦~ 

 

感谢您的理解与支持，小tip: 如果问题已经解决可以采纳最佳回复闭环，这样不仅有麦豆奖励，其他小伙伴也可以在已解决的列表中快速获取经验哦~

经过这些天多方查证，已经解决问题。

方法是在MYSQL的BIN目录下，使用mysqld-nt --skip-grant-tables 进入安全模式的mysql服务

然后再开窗口使用mysql -uroot -p 绕过包括ROOT在内的所有用户密码

再然后使用update mysql.user set password=PASSWORD('XXXXXXXX') WHERE User='admin';修改密码。

再再然后在Tomcat\bin\smartbi-config.xml，配置文件里面改掉<pass>admin</pass>行，即可smartBI登录新的MYsql密码。

 

 

 

建议所有自己安装smartbi的人员都要按上诉步骤改一下这个密码，否则无法抵御MYSQL渗透攻击。这在我们程序员看来就是代码漏洞，开发人员在打包smartbi安装包的时候完全有能力把这个用户名改掉的。其次，千万不要把6688端口放出外网。

 

 

 

此贴大部分终结，还有smartbi/vision/FileResource 被发送op=OPEN&resld= LOGIN_ BG_ IMG' AND extractvalue(1,concat(0,md5(123)))，有响应动作，被视为注入漏洞。