【前言：噩夢序章】

信息化時代對企業(yè)的信息安全威脅最嚴重的就是黑客入侵。由黑客入侵對企業(yè)帶來的危害大家自行百度，在此不贅述。

互聯(lián)網(wǎng)企業(yè)由于其業(yè)務(wù)特性，業(yè)務(wù)會向全互聯(lián)網(wǎng)用戶開放，只要接入互聯(lián)網(wǎng)的人都可以訪問到這個業(yè)務(wù)，覆蓋全網(wǎng)用戶的同時又等于是給黑客暴露了攻擊面，一旦業(yè)務(wù)出現(xiàn)安全漏洞，黑客就會迅速入侵進而對企業(yè)帶來災(zāi)難性的破壞。

傳統(tǒng)企業(yè)即使有信息化業(yè)務(wù)，那也是在線下，覆蓋用戶有限(互聯(lián)網(wǎng)上的黑客很難接觸到)，相對還算安全。但傳統(tǒng)企業(yè)也在互聯(lián)網(wǎng)化，這里或許又會經(jīng)歷一輪腥風(fēng)血雨。

騰訊安全中心早在2005年成立之初就開始關(guān)注入侵防御體系建設(shè)，經(jīng)過近十年的系統(tǒng)建設(shè)和運營，也算小有一些血淚教育和經(jīng)驗。筆者不揣淺陋，愿拋磚引玉，大家一起PK探討企業(yè)的入侵防御策略，共襄盛舉。

【啟示錄：捻亂止于河防】

木桶理論是信息安全的一個經(jīng)典理論，也就是說防御要面面俱到，隨便漏掉一個點就可能導(dǎo)致全盤崩潰——所謂“千里之堤毀于蟻穴”是也。這也就造成了攻防雙方的不對等：攻方只需要找到防方一個破綻，就可以把防方打敗。有點類似游擊戰(zhàn)術(shù)：打得贏就打，打不贏就跑。這情景與清末的捻軍何其相似。

捻軍是清末的反政府武裝，主要戰(zhàn)斗模式是游擊，主力是馬隊，遇到正規(guī)軍打得贏就打，打不贏就跑，馬隊跑得快，清軍步兵、洋槍隊根本追不上，搞得清政府很頭痛。連當(dāng)時剛剛打敗了太平天國的天下無敵的湘軍(湖南人打仗太厲害了，號稱“無湘不成軍”)也拿捻軍沒有辦法。

后來湘軍參考明末將領(lǐng)孫傳庭對付流寇的辦法，以黃河為界，在重要位置步步設(shè)防，逐步推進，把捻軍趕到一個包圍圈里面，再集中優(yōu)勢兵力逼其決戰(zhàn)殲滅之。最終捻軍被河防策略消滅。

從捻軍的事例我們可以看到，對于這種攻防不對等的情況，防方要贏就要靠一個字：“控”——把對手控制在一個可控范圍，再用豐富的資源打敗他。這個思路就有點類似xti9er在《如何建立有效的安全策略》中提到的“降維攻擊”。

回到企業(yè)入侵防御上來，“控”的思路就是堅壁清野步步為營層層設(shè)防，讓黑客即使入侵進來也是在我們可控的位置活動。

一般而言，一個企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交界是內(nèi)部員工的外網(wǎng)訪問和生產(chǎn)環(huán)境的互聯(lián)網(wǎng)業(yè)務(wù)。前者是幾乎所有企業(yè)都有的(除非你的企業(yè)不讓員工上外網(wǎng)——咳，太不人道了)，后者是有互聯(lián)網(wǎng)業(yè)務(wù)的公司才有。

內(nèi)部的外網(wǎng)訪問是很大的安全風(fēng)險，這些非專業(yè)員工往往又沒有太高的安全意識。很多企業(yè)內(nèi)部就是因為黑客使用0 day甚至是N day漏洞進行網(wǎng)頁掛馬或釣魚郵件攻擊淪陷的。而生產(chǎn)環(huán)境的互聯(lián)網(wǎng)業(yè)務(wù)講究快，需要敏捷開發(fā)快速迭代，這個過程中往往容易出現(xiàn)安全漏洞，且易于被外部發(fā)現(xiàn)。黑客入侵到一臺服務(wù)器后就可以在生產(chǎn)環(huán)境內(nèi)網(wǎng)馳騁了。

只要我們重兵布防在這兩個位置，則大局可定。

大致的示意圖如下：

我們布防的位置和安全策略如下(只談主要的，其他不贅述)：

以生產(chǎn)網(wǎng)的外部入口為例，很多年前騰訊就實施了嚴格的端口管控(不允許服務(wù)器的非業(yè)務(wù)端口對外網(wǎng)開放)，所以基本上這些年的安全漏洞和入侵事件都控制在了Web層。這樣我們就可以投入大量精力在Web層進行入侵發(fā)現(xiàn)和防御。#p#

【對抗中成長：V的故事】

道哥在《中國黑客傳說——游走在黑暗中的精靈》中描述了超級黑客V的故事。沒錯，今天的主角就是V。

筆者根據(jù)一些線索以及不愿意透露姓名的接近V的人士爆料推測，V在烏云上的ID叫豬豬俠。翻看豬豬俠在烏云提交過的漏洞，可以看出這是一個頂尖高手。繼續(xù)爆料，他還有一個名字叫ring04h，很早就活躍在互聯(lián)網(wǎng)安全圈了(不熟悉的同學(xué)可以百度一下這個關(guān)鍵字)，很多年前ring04h就給我們提交過漏洞。

當(dāng)然，以上只是基于福爾摩斯演繹法的推論，筆者不保證這個推論的正確性。

{第一場｝開源系統(tǒng)弱口令血案

2013年9月的某天凌晨，我們的流量監(jiān)控系統(tǒng)(對HTTP全流量進行分析，發(fā)現(xiàn)異常的HTTP請求)發(fā)出警報，某個網(wǎng)站存在WebShell通信，看到請求URL的第一反應(yīng)是nginx的解析漏洞(漏洞原理參見nginx文件類型錯誤解析漏洞)的利用。

應(yīng)急響應(yīng)團隊立即排查，發(fā)現(xiàn)網(wǎng)站目錄出現(xiàn)了一個gif后綴的PHP WebShell，再利用nginx解析漏洞執(zhí)行。由于是gif后綴，一般情況下不會執(zhí)行，所以主機安全Agent沒有檢測這個“圖片”文件，幸好有縱深防御——在網(wǎng)絡(luò)流量特征檢測到了。同時服務(wù)器上的PHP的SafeMod為On，入侵者沒有執(zhí)行系統(tǒng)命令的權(quán)限。

檢討下，此次事件主要是某個業(yè)務(wù)擅自使用WordPress，而又沒有做安全加固導(dǎo)致(WordPress的后臺管理頁面對外網(wǎng)開放且有弱口令，黑客利用WordPress的后臺權(quán)限上傳了這個WebShell文件)。雖然防線被突破，但是有重兵把守(主機安全Agent系統(tǒng)檢測主機層的可疑行為;流量監(jiān)控系統(tǒng)檢測網(wǎng)絡(luò)層的可疑流量)于后，以致滲透過程被及時發(fā)現(xiàn)阻斷。

于是接下來我們就開始清理各種Web管理頁面、弱口令以及nginx安全配置檢測。過程中我們又發(fā)現(xiàn)幾個沒備案的WordPress，趕緊驅(qū)動加固。具體按下不表。

此次事件從入侵者視角看，參見一次失敗的漫游騰訊內(nèi)網(wǎng)過程。

流量監(jiān)控系統(tǒng)的好處是對全HTTP請求進行分析，只要規(guī)則得當(dāng)，黑客利用漏洞的時候就會觸發(fā)警報，有好多Web漏洞就是被我們的流量監(jiān)控系統(tǒng)發(fā)現(xiàn)并修復(fù)的。比如某些在線XSS攻擊平臺利用時會引入它域名下的JS，這個域名就是強關(guān)鍵字;再比如一些WebShell的HTTP通信模型。這個話題以后有機會再寫。

{第二場｝備份文件帶來的攻擊

2013年11月某天，主機安全Agent系統(tǒng)發(fā)出警報，發(fā)現(xiàn)某臺服務(wù)器出現(xiàn)WebShell文件，我們的應(yīng)急響應(yīng)團隊一看安全事件單嚇壞了，這不就是一個典型的PHPWebShell么：

主機安全Agent系統(tǒng)是運行在服務(wù)器的一個程序，主要負責(zé)收集基礎(chǔ)信息(后臺對基礎(chǔ)信息分析發(fā)現(xiàn)安全風(fēng)險)和入侵行為發(fā)現(xiàn)。由于Web層入侵都會用到WebShell，所以我們把WebShell檢測做為第一道防線，一旦由于一些原因系統(tǒng)未能發(fā)現(xiàn)，進程/端口數(shù)據(jù)是第二道防線——比如Apache的屬主用戶執(zhí)行了命令，就是個典型的WebShell執(zhí)行命令特征。

話分兩頭。應(yīng)急響應(yīng)團隊接到警報后趕緊登機，關(guān)閉服務(wù)器外網(wǎng)，然后開始入侵檢查。

因為是config_ucenter.php里面被改了，所以首先想到是discuz的后臺獲取WebShell漏洞(看來是個0day漏洞)。果然后來知道是因為業(yè)務(wù)把config_ucenter.php備份了一個config_ucenter.php.bak文件，導(dǎo)致配置文件里的UC_KEY泄漏。有了UC_KEY就可以給論壇添加管理員了，再通過那個0day漏洞，就可以直接入侵服務(wù)器。

全過程見入侵者的自述：又一次失敗的漫游騰訊內(nèi)網(wǎng)過程 。雖然被黑了有點臉上無光，不過連經(jīng)驗豐富的豬豬俠都說“騰訊在PHP安全領(lǐng)域的防護實力，當(dāng)屬國內(nèi)第一”，這點還是很讓人欣慰。

檢討時間。此次事件主要是discuz的Web管理頁面對外網(wǎng)開放(還是河防沒搞好)，當(dāng)然也有文件備份不當(dāng)?shù)膯栴}。接下來繼續(xù)清理遺漏的Web管理頁面，重點針對部署discuz的服務(wù)器進行全方位加固。

{第三場｝配置不當(dāng)產(chǎn)生安全風(fēng)險

2013年12月某天，Kobin97反饋了我們某個discuz論壇的一個PHP文件源代碼可以下載到，導(dǎo)致泄漏UC_KEY(見這個漏洞報告)。discuz論壇泄漏了UC_KEY是會被拿到WebShell的，所以應(yīng)急團隊趕緊處理。

在上次discuz出事后，我們開始了大規(guī)模的排查和加固，某些業(yè)務(wù)在加固過程中誤把目錄 /uc_server/data/ 配置為不解析PHP，結(jié)果反而導(dǎo)致目錄下的PHP文件可以被下載到，UC_KEY泄漏。

萬幸的是經(jīng)過驗證，這個漏洞暫時拿不到WebShell。因為在上次加固中我們已要求所有的discuz的登錄頁面/admin.php禁止外網(wǎng)訪問，即使UC_KEY泄漏了，入侵者也很難進一步滲透。下圖就是從非管理IP訪問管理后臺被拒絕的截圖。

豬豬俠也發(fā)現(xiàn)了這個問題，還精心設(shè)計了一個XSS攻擊試圖用有授權(quán)的人的瀏覽器來自動獲取WebShell。不過被Kobin97報了漏洞之后我們就迅速修改了UC_KEY，豬豬俠的計劃落空了。參見豬豬俠自述又又一次失敗的漫游騰訊內(nèi)網(wǎng)過程。你們還有沒有看出什么破綻?

檢討時間。這次事件主要是在實施安全加固策略的過程中，對配置是否正確的情況缺乏審計;同時還有流量監(jiān)控系統(tǒng)若發(fā)現(xiàn)PHP、JSP這種該解析的腳本被下載了，就應(yīng)該告警出來。

{第四場｝安全策略失效帶來的問題

在第二場后，我們的discuz論壇都進行了安全加固，特別是在管理頁面做了訪問IP限制，本來以為高枕無憂了，其實不然。

某天可能是因為策略回滾，某個discuz論壇管理頁面的訪問IP限制失效了，正好管理員又有個弱口令，結(jié)果就給了豬豬俠可乘之機。

這個訪問控制策略失效是被我們的Web漏洞掃描系統(tǒng)檢測到了的，但是在修復(fù)的過程中被豬豬俠掃到并利用——大家可以想象，你的業(yè)務(wù)有多少人24小時盯著，稍微出點疏忽就會出問題。

然后就是利用discuz管理后臺的0day漏洞生成WebShell。有了前幾次的經(jīng)驗，這次豬豬俠比較謹慎，沒有進行提權(quán)、端口掃描、漏洞掃描等大動作，所以一直未被發(fā)現(xiàn)。參見豬豬俠的一次成功的漫游騰訊內(nèi)網(wǎng)過程。

又到了檢討時間。此次事件是訪問IP限制策略失效再加上管理員存在弱口令導(dǎo)致。然后豬豬俠的一系列動作比較輕，沒有觸發(fā)各種安全系統(tǒng)警報。

此次的關(guān)鍵節(jié)點還是在管理頁面限制措施失效的處理時間稍長。對于高危漏洞，一定要立即處理，不可拖延;對抗高級滲透，除了已知入侵模式的黑名單模型，還要更進一步使用白名單模型，依靠平時的網(wǎng)絡(luò)訪問、運維行為建立時間/行為/動作模型，一旦出現(xiàn)不符合的情況就判定為異常事件——我們在核心區(qū)域已經(jīng)開始這樣做了。

{總結(jié)｝

因為我們已經(jīng)屏蔽了服務(wù)器的外網(wǎng)所有非業(yè)務(wù)端口，所以四次入侵都是從Web應(yīng)用過來的。雖然還是被黑客不同程度地獲取到部分權(quán)限，但是黑客的活動范圍被控制在一個有限的區(qū)域(都是普通業(yè)務(wù)區(qū))，至少說明河防大策略還是正確的。

我們可以看到，黑客們都對這種開源的程序漏洞(如discuz、WordPress、phpwind等)研究得爐火純青，企業(yè)能不用就不用。

對于越來越多的互聯(lián)網(wǎng)Web業(yè)務(wù)，一定要做好安全加固，簡單口訣：“目錄默認不可寫，可寫目錄不解析，Web Server非root，管理頁面不對外”。對于企業(yè)來說，這個工作大部分是個系統(tǒng)工程問題而不是安全技術(shù)問題。

【后記：未完待續(xù)】

河防大計定下來后，要考慮對敵人的精準打擊了——也就是在可控區(qū)域進行縱深防御。

縱深防御就是要聯(lián)動多個層面的安全系統(tǒng)層層設(shè)防，這樣即使哪個點被突破了還可以在其他層面發(fā)現(xiàn)和阻斷入侵。比如我們正在嘗試的PHP環(huán)境下的安全防御方案和多維度的入侵檢測。

我們需要始終記得，安全是一個整體。