正文
大致的示意图如下:
![]()
我们布防的位置和安全策略如下(只谈主要的,其他不赘述):
![]()
以生产网的外部入口为例,很多年前腾讯就实施了严格的端口管控(不允许服务器的非业务端口对外网开放),所以基本上这些年的安全漏洞和入侵事件都控制在了Web层。这样我们就可以投入大量精力在Web层进行入侵发现和防御。
【
对抗中成长:V的故事
】
道哥在《中国黑客传说——游走在黑暗中的精灵》中描述了超级黑客V的故事。没错,今天的主角就是V。
笔者根据一些线索以及不愿意透露姓名的接近V的人士爆料推测,V在乌云上的ID叫猪猪侠。翻看猪猪侠在乌云提交过的漏洞,可以看出这是一个顶尖高手。继续爆料,他还有一个名字叫ring04h,很早就活跃在互联网安全圈了(不熟悉的同学可以百度一下这个关键字),很多年前ring04h就给我们提交过漏洞。
当然,以上只是基于福尔摩斯演绎法的推论,笔者不保证这个推论的正确性。
{
第一场
}
开源系统弱口令血案
2013年9月的某天凌晨,我们的流量监控系统(对HTTP全流量进行分析,发现异常的HTTP请求)发出警报,某个网站存在WebShell通信,看到请求URL的第一反应是nginx的解析漏洞(漏洞原理参见nginx文件类型错误解析漏洞)的利用。
![]()
应急响应团队立即排查,发现网站目录出现了一个gif后缀的PHP WebShell,再利用nginx解析漏洞执行。由于是gif后缀,一般情况下不会执行,所以主机安全Agent没有检测这个“图片”文件,幸好有纵深防御——在网络流量特征检测到了。同时服务器上的PHP的SafeMod为On,入侵者没有执行系统命令的权限。
检讨下,此次事件主要是某个业务擅自使用WordPress,而又没有做安全加固导致(WordPress的后台管理页面对外网开放且有弱口令,黑客利用WordPress的后台权限上传了这个WebShell文件)。虽然防线被突破,但是有重兵把守(主机安全Agent系统检测主机层的可疑行为;流量监控系统检测网络层的可疑流量)于后,以致渗透过程被及时发现阻断。
于是接下来我们就开始清理各种Web管理页面、弱口令以及nginx安全配置检测。过程中我们又发现几个没备案的WordPress,赶紧驱动加固。具体按下不表。
此次事件从入侵者视角看,参见一次失败的漫游腾讯内网过程。
流量监控系统的好处是对全HTTP请求进行分析,只要规则得当,黑客利用漏洞的时候就会触发警报,有好多Web漏洞就是被我们的流量监控系统发现并修复的。比如某些在线XSS攻击平台利用时会引入它域名下的JS,这个域名就是强关键字;再比如一些WebShell的HTTP通信模型。这个话题以后有机会再写。
{
第二场
}
备份文件带来的攻击
