搜索
运维安全的攻与防KNOWIT开源带来的风险-php官方代码被改了•开源代码被篡改(php/chef/ssh/vsftpd….)•某些开发人员的安全编码规范不行•架构设计范围太广,安全可控性差,成本高信息的泄漏-58火了•一个dns区域传送泄漏所有子域名•一个mongodbagent端口对外,非授权访问情况下,直接getshell•一个svn信息泄漏,导致源代码被拖,挖洞,入侵官方,进行内网渗透。甚至导致svn服务器被黑,篡改代码,所有相关同步服务器沦为肉鸡。•一个管理网后台泄漏,导致58被脱裤。。。•一个zabbix后台泄漏,导致所有服务器沦为肉鸡•一个备份文件泄漏,导致源代码•Rsync信息泄漏•Hadoop集群地址,将会导致。。。权限问题•应用服务用户权限过高•存储敏感信息任意用户可读•执行脚本代码可注入密码问题-优酷/奇艺挂了•默认密码•弱口令•第三方导致的密码泄漏•一个密码走天下•案例:•从一个默认口令到youku和tudou内网自动化带来的问题-这个很暴力•通常我们搭建一个服务器通过http来下载一些安装包.•恩,很方便•如果包被篡改怎么办?•缺乏监控,校验和审计流程,风险大,可控性差•开发人员安全编码不够规范•例如:opscode的chef•一个普通的客户端用户可以通过api访问到其他的用户了客户端信息,以及一些帐号密码,包括曾经存在的其他越权漏洞,可以导致从一个客户端之间入侵到其他客户端甚至服务器端,最终导致所有网络瘫痪。默认/错误配置的风险-TreasureData被黑•Jboss直接通过jmx-console部分上传webshell•Mongodb任意ip访问,默认无授权,存在远程溢出漏洞•Memcache任意ip访问读取数据,无任何验证•Nginx网上错误的nginxphp解析配置•Hive的tranform函数导致任意代码/命令执行•Apache错误的目录不解析php配置流量攻击-低成本,高损失•Ddos攻击•Cc攻击•其他各种网络攻击0day-0day在手,长枪我有•GOOGLE等三十多个高科技公司的极光攻击•美国能源部的夜龙攻击•针对RSA窃取SECURID令牌种子的攻击•针对伊朗核电站的震网攻击•据统计2011年NASA被成功入侵13次•一个贴近我们的实例,nginx解析漏洞。。。误操作带来的纠纷•某天我们某服务器的防火墙发现被人关了•然后大家都是说:我没动,是不是你们那边谁弄得啊。。。•闹鬼?•什么时候?哪里来的?谁干的?还干了什么?HACKIT访问控制•内部/办公网和平台网络的隔离•平台网站后台/zabbix后台限制•ssh/memcache等端口访问控制•开发运维人员测试机网络要和线上运营服务器隔离•统一采用密钥验证•进一步的审计和规范还没做。。运维操作审计系统实时地、完整地记录基于SSH协议访问的用户操作,并提供方便灵活的操作回放或查询检索的手段和操作进行过程的抓取,从而可以录像方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。运维审计录像查看Ngx_lua_waf•Waf的功能•过滤常见的web攻击•过滤常见的敏感文件泄漏•屏蔽常见的扫描黑客工具•屏蔽异常的网络请求•屏蔽图片附件类目录php执行权限•防护cc攻击•帮助发现,记录•分析黑客攻击行为•了解平台被攻击情况•一起来看下我们的waf代码•新waf的代码和畅想Webshell监控•Webshell监控:自研发对网站文件操作进行实时监控,并对恶意文件进行本地记录。然后报警(邮箱,RTX),并且入库检测报警上报到运维安全中心。漏洞检测系统•远程扫描•代码审计Web•远程扫描•本地检测ServerSQLInjectionXSSCSRFJSONHijackingOSInjectionEtc..high-riskportlowversionremoteoverflowunsecuconfigweakpwdEtc..主机安全agent•服务器基础信息采集•行为特征•数据挖掘分析•安全风险•安全事件输出•推动修复•应急响应处理端口扫描/弱口令检查•基于nmap+medusa定期对平台的危险端口和弱口令自动进行检测,以邮件方式发送给相关负责人日志分析•基于大数据对日志进行分析,得出常规分析,安全分析,漏洞扫描,webshell检查安全运营中心渗透性测试•在保障业务不受影响的情况下,从攻击者的角度出发对公司平台进行安全测试,渗透性测试的基本方法包括:黑白盒。信息搜集弱点探测发起测试得到权限隐蔽身份扩大战果完全控制记录过程权限回退渗透测试报告安全加固方案应急响应云安全-Securityasaservice总结•安全无绝对,攻击和防守永远是此消彼长的一个过程•因此安全需要大家共同参与,不断完善加强