安全老司机|几百万的安全设备,却解决不了一个问题
自从大学毕业后,我就进入了一家安全公司做技术工作。多年过去,一直奔波于各色各样的客户现场,听过各种类型的客户需求,处理过形形色色的安全问题,也聆听过各种吐槽与感慨。不过,这一次与黑客的实时交锋却让我难忘。
一次“直击灵魂”的对话
“四毛,你说说看,为啥我买了几百万的安全设备,防火墙、堡垒机、IDS、IPS……数都数不清了,为啥黑客到我这里还是能来去自如?”
面对这样露骨的问题我也只能无奈说声,“老总,毕竟天下没有攻不破的网络…..”
还没等我说完,老总立马打断我。
“不能拦住所有攻击我也能理解,但是花了几百万,总要告诉我到底哪些攻击没被拦住?安全防线又是怎么被突破的?”老总不经意间提高了嗓门,还带着一丝丝的怒气。
“是啊,老总,安全最可怕的不是那些已经被拦住的攻击,而是那些没有被拦住却又不知道的攻击。”
“希望你们的产品,不会让我失望。能准确告诉我到底有哪些攻击没被拦住。”
正当我准备接话表决心的时候,我的两手机不约而同地发出“吱吱吱”猛烈震动,接连收到“Web后门”和“反弹Shell”两个高危告警……
“老总,看来没让您失望,现在你可以知道都有哪些攻击逃过了那堆“几百万设备”了。”
我立马飞奔机房……
“Web后门”和“反弹Shell”都是啥?
为了让各位老少爷们能身临其境体验与黑客实时交锋的场景,在故事开场前,我先给大家普及两个概念。懂行的可以直接跳过进入第三部分。
①什么是Web后门
简单来说,Web后门(WebShell)就是一个ASP、PHP或JSP的木马后门。一般情况下,黑客在入侵一个网站后,常常会将这些ASP、PHP或JSP的木马后门文件放置在网站服务器的Web目录中,与正常的网页文件混在一起。黑客通过这些Web后门可以控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。通俗来讲,就是你的网站被黑了。
②反弹Shell又是何物
想要搞清楚这个问题,首先要搞清楚什么是反弹,为什么要反弹。
攻击者用自己的机器去连接目标主机,这叫做正向连接,例如远程桌面、Web服务、SSH、Telnet等。
什么情况下正向连接不太好用呢?
(1)被控制机器在局域网内, IP会动态改变,不能持续控制。
(2)由于防火墙等限制,对方机器只能发送请求,不能接收请求。
所以建立一个服务端,让目标机器主动连接,这才是上策。攻击者指定服务,让受害者的主机主动连接攻击者的服务器,就叫反弹连接。黑客在拿到WebShell后,如果目标主机是Linux服务器,一般都会选择反弹Shell,以方便后续操作。
知己知彼,百战不殆
上战场前,为了做到知己知彼,还是先打开手机了解下整体战况。有了这两份精准而又详细的报警信息,将会让分析过程变得更简单。
通过产品“Web后门”告警信息,可以看到这个WebShell文件shell.php具有反弹Shell的功能。
通过产品“反弹Shell”告警信息,可以清楚了解如下图所示的各种信息,包括攻击时间、连接进程、反弹目标主机和端口等等。
查看反弹Shell的详情,果然发现在10点53分,老总机房一台主机“失陷”了。通过PHP71连接进程主动对远在菲律宾的一台目标主机发起了连接(这显然是黑客控制的一台服务器)。
黑客是怎么进来的
按照道理,老王“军营”封闭式管理非常严格,大门前有站岗的“防火墙”,军营内到处都是无死角的视频监视“入侵检测”,内部还有审计员“堡垒机”…….层层防护下,黑客是如何做到来去自如?
正所谓“苍蝇不叮无缝的鸡蛋”。黑客能够植入“后门”,一般都是因为网站存在漏洞。导致被攻击者利用上传了WebShell,例如SQL注入漏洞,XSS跨站漏洞,PHP解析漏洞等。
通过对网站代码进行漏洞分析并结合Web日志分析,发现客户网站存在PHPCMS漏洞,黑客正是利用这个漏洞上传了具有反弹Shell功能的WebShell。该漏洞利用缓存更新,将网站木马代码插入到缓存文件当中。因为$template没有进行过滤就可以直接写入到缓存模板中,只需要指定TAG内容,post提交过去,如下代码即可完成一次攻击。
黑客进来后干了什么
我正准备询问技术人员现场情况。但看他们一脸郁闷,满脸愁容的样子,就大概猜到了他们也不知道黑客进来都干了什么。只听他们自言自语说道,这个黑客居然将入侵期间,Linux操作系统自带的history命令记录都清除了…….
但是,老总每年上百万的安全支出,我相信即便没拦住敌人攻击,留下点对方的蛛丝马迹总是不难的。希望是美好的,现实却很残酷的。从“门口警卫”、“视频监控”都没有查到有任何“陌生人”来访,并且通过堡垒机的日志审计,查阅了该主机所有活动记录均未发现有任何痕迹。显然,那堆设备还是不能告诉我黑客到底干了什么。
这个时候,老总显然有些失望,喃喃自语到:我就说嘛,几百万的设备,拦不住也就算了,人家到我这里大闹一番,居然连对方的“影子”都没看到。
“老总,你别急,这不是还有青藤嘛。”
看来是时候拿出最后的法宝了,登录我司大数据分析平台的安全日志,果然没让我失望。它清楚记录了黑客的所有操作行为,发现黑客居然下载了不少文件,包括网站的挂马文件。去Linux服务器一看,果然发现www目录多出一个indnx.php的文件,把这个文件下载下来,经过解密分析后,发现这是一个自动挂马文件。
通过上述分析以及结合报警信息,可以清楚知道黑客通过正是PHPCMS框架漏洞,上传一个WebShell(具有反弹功能)。然后,黑客通过反弹Shell做命令交互,从公网IP下载了一个木马脚本。
狡猾的黑客,高级的猎手
也许,正在看故事的你并没有网站需要担心被挂马,并且对于自己的判断力有充足的信心,并不认为自己会被黄赌毒网页引入歧途。但是也许你身边的人,年迈的父母,稚嫩的孩子,都是“黄赌毒”网站最肥美的猎物。
作为网络安全的守护者,既然黑客已经打到“城墙根下”,就必须出手干掉他。通过之前分析,已经非常清晰的知道黑客整个攻击过程。此次事件根本原因是因为网站漏洞被利用。因此,首先对网站漏洞进行修复,然后清除网站的木马后门即可。由于第一时间阻止了黑客的攻击,此次入侵未对客户造成任何影响。
在阻止黑客攻击过程中,我用余光看到旁边观战老总额头不断冒汗……. 事后,我才知道,原来老总之前网站就被挂马过,并造成很大负面影响,估计现在想起来还心有余悸吧。值得庆幸是,使用青藤产品之后,他终于能够在第一时间知道黑客是怎么攻进来的,并且再也不用担心到底有哪些攻击没被拦截住。
大部分网站挂马一般不会动网站的主体结构,而是在某些特定的地方加入黄赌毒网站的宣传图片或链接。
这些入口可能被放置在首页,也可能被放在不同的栏目下面。网页被挂马篡改,不仅仅是需要改回来这么简单。黑客侵入网站,说明网站存在着严重的可以被利用的漏洞。利用这些漏洞,黑客可以把网站的所有注册用户数据窃取下来。往后黑客就有一万种“攻击”你的办法。
作为安全“老炮”,教大家几招防范被挂马的套路
做安全都知道没有一劳永逸的套路,只有且行且珍惜的“努力”。平时将功课做足,关键时刻也许就可以避免掉链子。
(1) 网站中使用了PHPCMS系统的,要记得及时进行升级,打补丁修复漏洞。
(2)更改网站的后台管理系统地址(默认一般都是admin、manage等),建议使用较复杂的名字。这样即使黑客通过SQL注入漏洞获取到账号密码,也不知道后台地址。
(3)网站的目录权限的“读”、“写”、“执行”进行合理安全部署。
(4)请安全团队对网站的所有代码进行检测,及时修复风险隐患点。
大家如果真遇见自己的网站被挂马,千万不要着急,可以请安全专家,先找到挂马方式及挂马的位置,分析一下黑客是通过网站哪块的漏洞进入的,比如是服务器的漏洞,还是网站程序漏洞,找到漏洞及时修复,清除木马程序或者木马链接就可以了。
更多精彩内容:
深度|DevOps + Security = DevSecOps?
漫画|梦回大唐|深夜被皇上召进宫,才发现我们竟然.......
青藤云安全
以服务器安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全态势感知平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。
QINGTENG CUSTOMERS
他们都在使用青藤
政企机构
国家信访局 | 国家信息中心 | 北京市公安局 | 中国煤炭地质总局 | 国家电网 |华中电网有限公司 | 天津市地震局| 青海省卫生健康委员会 | 北京电视台 | 中国日报 |
金融行业
中国平安 | 招商银行 | 光大银行 | 吉林银行 | 宁波银行 | 安信基金 | 阳光保险集团 | 招联金融 | 银华基金 | 泰康 |
互联网金融
陆金所 | 借贷宝 | 91金融 | 51信用卡 | 玖富 | 易宝支付 |宜信 | 人人贷 | 普惠家 | 有利网
互联网
BiliBili | 科大讯飞 | 51 Talk | 团车网 | 人人行科技 | 斗鱼 | 映客 | 途牛 | 春雨医生 | 天极网
大型企业
九阳 | 吉利控股集团 | 中通快递 | 上汽集团 | 百胜中国 | TCL | 中国移动 | 中国联通 | 中国电信