運(yùn)維安全的攻與防

關(guān)于運(yùn)維安全的攻與防KNOWIT第2頁,共26頁，2024年2月25日，星期天開源帶來的風(fēng)險(xiǎn)-php官方代碼被改了開源代碼被篡改(php/chef/ssh/vsftpd….)某些開發(fā)人員的安全編碼規(guī)范不行架構(gòu)設(shè)計(jì)范圍太廣，安全可控性差，成本高第3頁,共26頁，2024年2月25日，星期天信息的泄漏-58火了一個(gè)dns區(qū)域傳送泄漏所有子域名一個(gè)mongodbagent端口對(duì)外，非授權(quán)訪問情況下，直接getshell一個(gè)svn信息泄漏，導(dǎo)致源代碼被拖，挖洞，入侵官方，進(jìn)行內(nèi)網(wǎng)滲透。甚至導(dǎo)致svn服務(wù)器被黑，篡改代碼，所有相關(guān)同步服務(wù)器淪為肉雞。一個(gè)管理網(wǎng)后臺(tái)泄漏，導(dǎo)致58被脫褲。。。一個(gè)zabbix后臺(tái)泄漏，導(dǎo)致所有服務(wù)器淪為肉雞一個(gè)備份文件泄漏，導(dǎo)致源代碼Rsync信息泄漏Hadoop集群地址，將會(huì)導(dǎo)致。。。第4頁,共26頁，2024年2月25日，星期天權(quán)限問題應(yīng)用服務(wù)用戶權(quán)限過高存儲(chǔ)敏感信息任意用戶可讀執(zhí)行腳本代碼可注入第5頁,共26頁，2024年2月25日，星期天密碼問題-優(yōu)酷/奇藝掛了默認(rèn)密碼弱口令第三方導(dǎo)致的密碼泄漏一個(gè)密碼走天下案例:從一個(gè)默認(rèn)口令到y(tǒng)ouku和tudou內(nèi)網(wǎng)http:///bugs/wooyun-2010-019917第6頁,共26頁，2024年2月25日，星期天自動(dòng)化帶來的問題-這個(gè)很暴力通常我們搭建一個(gè)服務(wù)器通過http來下載一些安裝包.恩，很方便如果包被篡改怎么辦？缺乏監(jiān)控，校驗(yàn)和審計(jì)流程，風(fēng)險(xiǎn)大，可控性差開發(fā)人員安全編碼不夠規(guī)范例如：opscode的chef一個(gè)普通的客戶端用戶可以通過api訪問到其他的用戶了客戶端信息，以及一些帳號(hào)密碼，包括曾經(jīng)存在的其他越權(quán)漏洞，可以導(dǎo)致從一個(gè)客戶端之間入侵到其他客戶端甚至服務(wù)器端，最終導(dǎo)致所有網(wǎng)絡(luò)癱瘓。第7頁,共26頁，2024年2月25日，星期天默認(rèn)/錯(cuò)誤配置的風(fēng)險(xiǎn)-TreasureData被黑Jboss直接通過jmx-console部分上傳webshellMongodb任意ip訪問，默認(rèn)無授權(quán)，存在遠(yuǎn)程溢出漏洞Memcache任意ip訪問讀取數(shù)據(jù)，無任何驗(yàn)證Nginx網(wǎng)上錯(cuò)誤的nginxphp解析配置Hive的tranform函數(shù)導(dǎo)致任意代碼/命令執(zhí)行Apache錯(cuò)誤的目錄不解析php配置第8頁,共26頁，2024年2月25日，星期天流量攻擊-低成本，高損失Ddos攻擊Cc攻擊其他各種網(wǎng)絡(luò)攻擊第9頁,共26頁，2024年2月25日，星期天0day-0day在手，長(zhǎng)槍我有GOOGLE等三十多個(gè)高科技公司的極光攻擊美國(guó)能源部的夜龍攻擊針對(duì)RSA竊取SECURID令牌種子的攻擊針對(duì)伊朗核電站的震網(wǎng)攻擊據(jù)統(tǒng)計(jì)2011年NASA被成功入侵13次一個(gè)貼近我們的實(shí)例，nginx解析漏洞。。。第10頁,共26頁，2024年2月25日，星期天誤操作帶來的糾紛某天我們某服務(wù)器的防火墻發(fā)現(xiàn)被人關(guān)了然后大家都是說：我沒動(dòng)，是不是你們那邊誰弄得啊。。。鬧鬼？什么時(shí)候？哪里來的？誰干的？還干了什么？第11頁,共26頁，2024年2月25日，星期天HACKIT第12頁,共26頁，2024年2月25日，星期天訪問控制

內(nèi)部/辦公網(wǎng)和平臺(tái)網(wǎng)絡(luò)的隔離平臺(tái)網(wǎng)站后臺(tái)/zabbix后臺(tái)限制ssh/memcache等端口訪問控制開發(fā)運(yùn)維人員測(cè)試機(jī)網(wǎng)絡(luò)要和線上運(yùn)營(yíng)服務(wù)器隔離統(tǒng)一采用密鑰驗(yàn)證進(jìn)一步的審計(jì)和規(guī)范還沒做。。第13頁,共26頁，2024年2月25日，星期天運(yùn)維操作審計(jì)系統(tǒng)

實(shí)時(shí)地、完整地記錄基于SSH協(xié)議訪問的用戶操作，并提供方便靈活的操作回放或查詢檢索的手段和操作進(jìn)行過程的抓取，從而可以錄像方式對(duì)所有運(yùn)維人員的所有操作進(jìn)行記錄，并具備強(qiáng)大的搜索功能，可對(duì)特定時(shí)段、特定事件、特定用戶等邏輯要素進(jìn)行搜索與提取——從而達(dá)到真正意義上的審計(jì)與風(fēng)險(xiǎn)控制。第14頁,共26頁，2024年2月25日，星期天Ngx_lua_wafWaf的功能過濾常見的web攻擊過濾常見的敏感文件泄漏屏蔽常見的掃描黑客工具屏蔽異常的網(wǎng)絡(luò)請(qǐng)求屏蔽圖片附件類目錄php執(zhí)行權(quán)限防護(hù)cc攻擊幫助發(fā)現(xiàn)，記錄分析黑客攻擊行為了解平臺(tái)被攻擊情況一起來看下我們的waf代碼新waf的代碼和暢想第15頁,共26頁，2024年2月25日，星期天Webshell監(jiān)控

Webshell監(jiān)控：自研發(fā)對(duì)網(wǎng)站文件操作進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)惡意文件進(jìn)行本地記錄。然后報(bào)警(郵箱，RTX)，并且入庫檢測(cè)報(bào)警上報(bào)到運(yùn)維安全中心。第16頁,共26頁，2024年2月25日，星期天漏洞檢測(cè)系統(tǒng)SQLInjectionXSSCSRFJSONHijackingOSInjectionEtc..high-riskportlowversionremoteoverflowunsecuconfigweakpwdEtc..第17頁,共26頁，2024年2月25日，星期天主機(jī)安全agent第18頁,共26頁，2024年2月25日，星期天端口掃描/弱口令檢查基于nmap+medusa定期對(duì)平臺(tái)的危險(xiǎn)端口和弱口令自動(dòng)進(jìn)行檢測(cè)，以郵件方式發(fā)送給相關(guān)負(fù)責(zé)人第19頁,共26頁，2024年2月25日，星期天日志分析基于大數(shù)據(jù)對(duì)日志進(jìn)行分析，得出常規(guī)分析，安全分析，漏洞掃描，webshell檢查第20頁,共26頁，2024年2月25日，星期天安全運(yùn)營(yíng)中心第21頁,共26頁，2024年2月25日，星期天滲透性測(cè)試在保障業(yè)務(wù)不受影響的情況下，從攻擊者的角度出發(fā)對(duì)公司平臺(tái)進(jìn)行安全測(cè)試，滲透性測(cè)試的基本方法包括：黑白盒。第22頁,共26頁，2024年2月25日，星期天應(yīng)急響應(yīng)第23頁,共26頁，2024年2月25日，星期天云安全-Securityasaservice第24頁,共26頁