小细节有大问题

2017年3月中旬接到客户的应急响应需求,发现服务器出现大量自动化crontab下载恶意脚本的任务,我们立即启动了应急响应流程,到达客户现场看到的是如图1的现象。

在经过了一系列取证分析、溯源测试之后我们发现根本原因是由于客户的redis服务器使用了默认配置,而这种默认配置不需要任何密码的认证就可以造成未授权访问,从而通过反弹shell的方式获取了服务器权限,并通过自动传播的方式将整个区域里有redis默认配置的机器全部感染,所有的感染的服务器都变为攻击者的肉鸡。并且这种方式不会留下服务器操作的历史记录及登录信息,在整个排查的过程中,我们还还发现相关攻击的手段可以非常多样化,包括直接对默认配置的服务器写入公钥,然后便可随时使用自己的私钥进行登录等。

通过此次安全事件我们应该更重视身边的安全小细节,在平时的安全服务中、日常的生活细节中都会有不少细节直接影响着我们的信息安全,包括现在很多客户运维的机器中还保留着大量厂商设备的默认口令或者空口令,一旦一个入口被突破,则就可能造成很大的安全隐患,此次事件让我想到身边很多小的细节都可能造成很大的安全问题,好比运营商里大部分动态路由协议都没有启用认证的功能,攻击者一旦找到机会接入相关区域,便可使用一台设备或者虚拟一台设备来和相关核心网络设备建立邻居关系,从而进行全网的路由攻击,轻易的就可以让某个区域或者更大的范围瘫痪,或者引导网络流量进行进一步的攻击,若是此类安全事件发生必将造成非常大的影响,但是如果从技术和管理的角度来看,要避免此类事件也是非常容易的,因此在任何时候我们都要注重细节,特别是和安全相关的问题,一些小的细节没做好,往往就会埋下安全隐患。

Redis事件的另外一个原因是因为没有遵守规则,因为研发测试的需要将测试环境和生产及研发环境临时打通,导致了原本和公网没有链路的生产网可以通过测试环境到研发环境,最后再通过研发环境到互联网,最终导致了从研发到测试再到生产的全部redis服务器都成为黑客的肉鸡,对整个公司的网络及生产都造成了极大的影响,从中我们不难看到事件的另一个原因就是因为没有遵守规则,不注重细节,侥幸心理往往给安全事件埋下隐患,当各种小细节和原本定好的规则没有被严格遵守的时候,往往会在不经意间爆发恶性的安全事件,像此次事件从第一台主机被控制到出现大量的矿机不过仅仅数小时。

安全无小事,希望每个人都能自身做起,从身边的小细节做起,遵守相关的安全规范和要求,让身边多一些小细节,少一些大问题。

评论已关闭。