177
魔獸
雲計算防入侵最佳實踐
雲計算是傳統IT服務的互聯網形式,規模化,更便捷,更穩定,更有效。非常大的降低了用戶IT投入成本,做到了傳統IT架構無法企及的安全性和穩定性。
服務器入侵是一個老生常談的話題,隨著黑客技術更加工具化,白菜化,黑客攻擊有愈演愈烈的趨勢,並伴隨著政府間,商業對手,情報機構的介入,黑客攻擊己上升到國家安全的高度。2013年多次發生由於黑客攻擊發生的用戶隱私信息泄露事件,由此窺見安全形勢己不容樂觀。
服務器入侵位於黑色產業鏈的底端,通過服務器入侵才能使整個黑客產業鏈運轉起來,就當下來說,服務器入侵的主要目的是把網站的SEO流量劫持到賭博或色情類網站,並換取金錢,或者在用戶的服務器中種植DDoS後門,控製用戶的服務器攻擊別人的服務器獲得金錢,或者針對一些有價值的網站進行入侵,並獲取網站用戶帳號密碼,信用卡,交易記錄,身份證等隱私數據進行私下交易,下圖能體現服務器入侵後衍生出的各種黑色產業鏈。
正因為入侵衍生出的各種黑色產業金錢的巨大誘惑,導致針對各類網站服務器的入侵從未中斷,手段也層出不窮,根據阿裏雲雲盾安全中心的監測,目前來說,入侵手段以暴力破解和WEB攻擊為主,並輔以其它手段,攻擊方式主要采取批量掃描的方式。下圖匯集了一些入侵的案例,經過分析,主要入侵手段如下圖所示:
1.暴力破解
目前互聯網上活躍著數萬個暴力破解蠕蟲,這些蠕蟲無時無刻不在掃描著互聯網的每一個IP段,隻要您沒有任何安全措施,並把端口暴露在外,就很容易被這些暴力破解蠕蟲攻擊,這些蠕蟲主要攻擊22和3389端口,嚐試破解root和administrator的密碼,也會去嚐試一些係統默認帳號的密碼。
根據我們截獲的一個暴力破解蠕蟲顯示,這些蠕蟲會經常攻擊一些比較弱的帳號和口令,比如:
konyvtar konyvtar
konyvtar konyvtar12
koszegi koszegi
jenkins jenkins
temp qwe123
szilagyi szilagyi
nobody universalpassword
operator igetmoney6969
root shipped!!
root azpi135
root massymo007
root mihaimadalina
root 1mai1980
root 123mudar
webapp webapp
app app
root 111111
root abcd1234
root redhat
oracle oracle
db1inst1 db1inst1
db1inst1 123456
zznode 123456
zznode 1234567890
zznode zznode
zznode zznode123
zxin10 zxin10
zxin20 zxin20
ftpuser qwe123
ftpuser ewq321
ftpuser ewq123
ftpuser 111111
root qsxesz
root q1w2e3r4
root q2w3e4r5
root 2wsx3edc
root 1qwe23
root qwerty123
root root123
root 1234
root 12345
root 123456
root 1234567
root 12345678
root rootroot
root zxcvbnm
oracle oracle
oracle oracle123
oracle oracle
bwadmin bwadmin
root kukluxklan
cacti cacti
test1 test1
mantis mantis
root keepc.com@123
如果您不幸中槍請馬上修改密碼,當然針對暴力破解我們也有一些建議:
a.首先,您需要加固您的服務器密碼,一定要超過8位,包括您服務器上其它帳戶的密碼,如果一些帳戶您不需要用,請關閉它的登陸權限,如果您有多台服務器,請不要使用一致的密碼。
b.對服務器的SSH和遠程桌麵默認端口建議做一些更改,SSH默認是22端口,而遠程桌麵是3389端口,建議改到一些高位端口,比如8888,9999。如果您會操作防火牆,建議限製這些管理端口的訪問源IP。
c.阿裏雲雲盾能自動化檢測暴力破解行為,並進行攔截,支持遠程桌麵,SSH,FTP,MYSQL等服務,如果為了省事,直接開啟雲盾是比較好的選擇。
2.Web應用程序漏洞
很多站長為了減少開發成本,選擇了一些簡單易用的開源或商業程序,比如最近漏洞層出不窮的dedecms,ecshop,phpcms等等,而這些程序因為安全性上的缺失,一直成為了黑客批量入侵的最佳目標。
而這些漏洞往往都是SQL注入,命令執行,文件上傳等可導致服務器權限被黑客獲取的高危漏洞。
從阿裏雲雲盾安全中心的分析表現,一些應用程序安全性表現較差,幾乎成了漏勺,用戶選擇這些應用程序的時候一定要小心。
因為開源程序的特性,黑客很容易獲取到程序源代碼,並從中分析出新的漏洞(0day),因此完全開源的程序其安全性並不能得到保障,但我們建議您一般需要使用最新版本的程序,因為最新的版本一般己經修複了己知的嚴重漏洞,同時您還需要關注這些程序發布的升級通知和安全補丁通知。
當然,普通站長並沒有這麼多時間投入到安全維護上,也不是沒有一勞永逸的辦法,如果您的服務器位於阿裏雲上,我們建議您開啟阿裏雲雲盾的WAF功能,開啟WAF後,所有針對您網站的WEB攻擊都能得到有效的防禦,並且當出現新的漏洞時,雲盾的安全人員會第一時間更新虛擬補丁應對新的漏洞攻擊,確保您網站安全無虞。
3 .後門攻擊和配置漏洞
在安全的問題上不存在小事,因此在向服務器傳輸文件,部署應用程序時,很可能就在給服務器留下安全隱患。
目前互聯網上很多提供應用程序下載和分發的站點,普通的站長經常會不選擇在官網下載而是直接下載一些別人發布的應用程序來使用,而這些非官網的應用程序其實大部分都內置了各種後門,當您部署上去的時候己經給黑客留下了秘密通道。
因此在您部署或遷移一個新的環境時請務必對您的應用程序進行一次整體的安全掃描,可以使用一些常用的殺毒軟件,比如(卡巴,趨勢)等。
同樣嚴重的問題還發生在一些服務器配置上:
最典型的是FTP 匿名的問題,互聯網上有很多專門掃描FTP匿名的入侵機器人,我們經常會發現一些用戶給自己的服務器開啟了FTP服務,但因為配置不當把匿名訪問也開啟了,但最關鍵的是匿名的用戶也有可以寫入文件的權限,導致服務器最終被入侵。
FTP 匿名寫入的問題主要集中在以下幾種FTP 服務器上:
因為如果您無需匿名訪問請一定要關閉匿名訪問功能(如圖需將匿名去除),如果需要匿名訪問,請僅開啟隻讀權限。
還有一些配置問題發生在web上:
Nginx 的PHP配置漏洞
https://www.wooyun.org/bugs/wooyun-2010-053030
JBOSS的後台上傳漏洞
https://www.wooyun.org/bugs/wooyun-2010-046140
IIS 的 WEBDAV 寫入漏洞
https://www.wooyun.org/bugs/wooyun-2010-048487
後台管理係統的弱密碼
https://www.wooyun.org/bugs/wooyun-2010-08014
一些測試用的上傳頁麵(test.php upload.php etc..)未刪除等。
我們通常都能發現一些常見的入侵原因竟然就是這種簡單的方法,千裏之堤,潰於蟻穴,因此從一些小細節中提升安全性顯得頗為重要。
對於這些常常忽略的風險,阿裏雲雲盾出提供了全套的解決方案,包括常見高危漏洞的檢測和修複,對於不想過於投入精力在這方麵的用戶,完全可以使用雲盾解決這類問題。
防入侵永遠不是一件可以掉以輕心的事情,相信隨著數據在現代社會中逐漸發揮作用,對數據的保護顯量猶為重要,防入侵就是一件保護數據安全的重要使命,阿裏雲作為國內目前最優秀的雲計算平台想要告訴用戶的是,在阿裏雲,安全是我們可以為用戶提供的最基礎最重要的價值之一。
最後更新:2017-04-03 12:56:00