122
當IT外包遇到暴力破解
作者:田民
當IT外包遇到暴力破解時,雲盾出現了。
暴力破解攻擊是阿裏雲用戶麵臨的最主要威脅之一。在阿裏雲雲盾的日常安全運營中,每周黑客對阿裏雲用戶的暴力破解數量高達數億次。下圖是最近兩個月來阿裏雲用戶遭到暴力破解攻擊的趨勢圖:
在上圖中,我們可以看出,從6月初到7月底,每周對阿裏雲用戶的暴力破解攻擊數量平均在5億次。在這5億次攻擊中,攻擊目標分布如下(7.21-7.27數據):
其中對操作係統的攻擊數量最多,對數據庫的攻擊也占到了近40%。
數據庫暴力破解是指黑客通過字典等方式對數據庫的超管賬號root密碼進行猜測的過程。我們知道,root賬號和密碼是連接數據庫的鑰匙,一旦root密碼被成功“暴破”,數據庫的安全也將不複存在。在阿裏雲雲盾檢測到的數據庫的暴力破解中,很大程度上是對MySQL數據庫的暴力破解。
談到這裏,在前不久,阿裏雲雲盾在日常運營中剛好發生了一件有意思的MySQL暴力破解事件。當時,雲盾檢測到某人不斷嚐試登錄某阿裏雲用戶的MySQL數據庫,且所有登錄嚐試均未成功。於是,雲盾啟動暴力破解防護機製,主動將該登錄IP放到了黑名單中,該IP的所有登錄行為均被阻斷。
很快,用戶網站的運營負責人打來電話,說明了情況,要求將被“拉黑”的IP解封——這其實是一場IT外包工作上的小問題引發的“誤會”。
該網站的運維是外包給另外一家公司來進行,當時外包公司的運維人員操作數據庫時由於密碼不正確造成登錄失敗,不想不斷地錯誤登錄觸發了雲盾的暴力破解防護,被“果斷”封殺。
雖然由於雲盾的防護對該用戶的數據庫操作產生了一些“影響”,但是用戶認為,從安全角度上考慮,這種“影響”恰恰體現了雲盾對數據庫的有效防護,是非常必要的,並表示經過這個事情之後,會保證雲盾的全天候啟用。當然,也會對外包人員進行必要的培訓,防止類似事情的再次發生。
阿裏雲安全團隊提醒各位阿裏雲用戶,暴力破解一直是網站的重要威脅之一,黑客通過對操作係統、數據庫以及諸如FTP等應用的暴力破解一方麵可以獲得相應的權限進行完成控製服務器的目的,另一方麵,黑客也可能通過暴力破解以你的服務器為跳板攻擊其它係統。因此,為了您和他人係統的安全,請各位網站站長全天候開啟阿裏雲雲盾。
最後更新:2017-04-03 05:39:42