检测到远端rexec服务正在运行中

0x01 前言

      rexec命令用于在指定的远程Linux系统主机上执行命令，向远程rexec服务器发出执行命令的请求。 rexec命令通过检查$HOME/.netrc文件（包含远程主机上使用的用户名和密码）来提供自动登录的功能。如果没有发现此类项或系统在安全方式下操作（参阅 securetcpip 命令），rexec命令提示输入一个远程主机的有效用户名和密码。这两种情况下，rexec均导致远程系统上的rexecd使用缺省的compat用户登录认证方法。rexecd不会为了备用的认证方法去查找/etc/security/user文件。也可以指定-n标志到rexec命令行上来重设自动登录功能。 http://man.linuxde.net/rexec

  rexec服务允许网络用户远程执行命令。由于rexecd并没有提供好的认证方式，认证体系相当简单而易受攻击，因此它可能被攻击者用来扫描第三方的主机，攻击者可以通过该服务远程暴力穷举猜测用户名、口令，也可以监听其它授权用户的通信过程以获取口令明文，可以使用nmap 等工具进行扫描检测

0x02 解决方案

一、建议立即禁用rexecd服务： 
1、在windows下禁用rexecd服务 
打开服务控制面板，在服务列表中找到rexec项，选择停止服务 

2、在unix系统下禁用rexecd服务 
在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。

二、使用防火墙进行限制

1、使用源IP 进行限制

2、使用目的IP进行限制

欢迎大家分享更好的思路，热切期待^^_^^ !