云计算是传统IT服务的互联网形式,规模化,更便捷,更稳定,更有效。非常大的降低了用户IT投入成本,做到了传统IT架构无法企及的安全性和稳定性。
服务器入侵是一个老生常谈的话题,随着黑客技术更加工具化,白菜化,黑客攻击有愈演愈烈的趋势,并伴随着政府间,商业对手,情报机构的介入,黑客攻击己上升到国家安全的高度。2013年多次发生由于黑客攻击发生的用户隐私信息泄露事件,由此窥见安全形势己不容乐观。
服务器入侵位于黑色产业链的底端,通过服务器入侵才能使整个黑客产业链运转起来,就当下来说,服务器入侵的主要目的是把网站的SEO流量劫持到赌博或色情类网站,并换取金钱,或者在用户的服务器中种植DDoS后门,控制用户的服务器攻击别人的服务器获得金钱,或者针对一些有价值的网站进行入侵,并获取网站用户帐号密码,信用卡,交易记录,身份证等隐私数据进行私下交易,下图能体现服务器入侵后衍生出的各种黑色产业链。
正因为入侵衍生出的各种黑色产业金钱的巨大诱惑,导致针对各类网站服务器的入侵从未中断,手段也层出不穷,根据阿里云云盾安全中心的监测,目前来说,入侵手段以暴力破解和WEB攻击为主,并辅以其它手段,攻击方式主要采取批量扫描的方式。下图汇集了一些入侵的案例,经过分析,主要入侵手段如下图所示:
1.暴力破解
目前互联网上活跃着数万个暴力破解蠕虫,这些蠕虫无时无刻不在扫描着互联网的每一个IP段,只要您没有任何安全措施,并把端口暴露在外,就很容易被这些暴力破解蠕虫攻击,这些蠕虫主要攻击22和3389端口,尝试破解root和administrator的密码,也会去尝试一些系统默认帐号的密码。
根据我们截获的一个暴力破解蠕虫显示,这些蠕虫会经常攻击一些比较弱的帐号和口令,比如:
konyvtar konyvtar
konyvtar konyvtar12
koszegi koszegi
jenkins jenkins
temp qwe123
szilagyi szilagyi
nobody universalpassword
operator igetmoney6969
root shipped!!
root azpi135
root massymo007
root mihaimadalina
root 1mai1980
root 123mudar
webapp webapp
app app
root 111111
root abcd1234
root redhat
oracle oracle
db1inst1 db1inst1
db1inst1 123456
zznode 123456
zznode 1234567890
zznode zznode
zznode zznode123
zxin10 zxin10
zxin20 zxin20
ftpuser qwe123
ftpuser ewq321
ftpuser ewq123
ftpuser 111111
root qsxesz
root q1w2e3r4
root q2w3e4r5
root 2wsx3edc
root 1qwe23
root qwerty123
root root123
root 1234
root 12345
root 123456
root 1234567
root 12345678
root rootroot
root zxcvbnm
oracle oracle
oracle oracle123
oracle oracle
bwadmin bwadmin
root kukluxklan
cacti cacti
test1 test1
mantis mantis
root keepc.com@123
如果您不幸中枪请马上修改密码,当然针对暴力破解我们也有一些建议:
a.首先,您需要加固您的服务器密码,一定要超过8位,包括您服务器上其它帐户的密码,如果一些帐户您不需要用,请关闭它的登陆权限,如果您有多台服务器,请不要使用一致的密码。
b.对服务器的SSH和远程桌面默认端口建议做一些更改,SSH默认是22端口,而远程桌面是3389端口,建议改到一些高位端口,比如8888,9999。如果您会操作防火墙,建议限制这些管理端口的访问源IP。
c.阿里云云盾能自动化检测暴力破解行为,并进行拦截,支持远程桌面,SSH,FTP,MYSQL等服务,如果为了省事,直接开启云盾是比较好的选择。
2.Web应用程序漏洞
很多站长为了减少开发成本,选择了一些简单易用的开源或商业程序,比如最近漏洞层出不穷的dedecms,ecshop,phpcms等等,而这些程序因为安全性上的缺失,一直成为了黑客批量入侵的最佳目标。
而这些漏洞往往都是SQL注入,命令执行,文件上传等可导致服务器权限被黑客获取的高危漏洞。
从阿里云云盾安全中心的分析表现,一些应用程序安全性表现较差,几乎成了漏勺,用户选择这些应用程序的时候一定要小心。
因为开源程序的特性,黑客很容易获取到程序源代码,并从中分析出新的漏洞(0day),因此完全开源的程序其安全性并不能得到保障,但我们建议您一般需要使用最新版本的程序,因为最新的版本一般己经修复了己知的严重漏洞,同时您还需要关注这些程序发布的升级通知和安全补丁通知。
当然,普通站长并没有这么多时间投入到安全维护上,也不是没有一劳永逸的办法,如果您的服务器位于阿里云上,我们建议您开启阿里云云盾的WAF功能,开启WAF后,所有针对您网站的WEB攻击都能得到有效的防御,并且当出现新的漏洞时,云盾的安全人员会第一时间更新虚拟补丁应对新的漏洞攻击,确保您网站安全无虞。
3 .后门攻击和配置漏洞
在安全的问题上不存在小事,因此在向服务器传输文件,部署应用程序时,很可能就在给服务器留下安全隐患。
目前互联网上很多提供应用程序下载和分发的站点,普通的站长经常会不选择在官网下载而是直接下载一些别人发布的应用程序来使用,而这些非官网的应用程序其实大部分都内置了各种后门,当您部署上去的时候己经给黑客留下了秘密通道。
因此在您部署或迁移一个新的环境时请务必对您的应用程序进行一次整体的安全扫描,可以使用一些常用的杀毒软件,比如(卡巴,趋势)等。
同样严重的问题还发生在一些服务器配置上:
最典型的是FTP 匿名的问题,互联网上有很多专门扫描FTP匿名的入侵机器人,我们经常会发现一些用户给自己的服务器开启了FTP服务,但因为配置不当把匿名访问也开启了,但最关键的是匿名的用户也有可以写入文件的权限,导致服务器最终被入侵。
FTP 匿名写入的问题主要集中在以下几种FTP 服务器上:
因为如果您无需匿名访问请一定要关闭匿名访问功能(如图需将匿名去除),如果需要匿名访问,请仅开启只读权限。
还有一些配置问题发生在web上:
Nginx 的PHP配置漏洞
http://www.wooyun.org/bugs/wooyun-2010-053030
JBOSS的后台上传漏洞
http://www.wooyun.org/bugs/wooyun-2010-046140
IIS 的 WEBDAV 写入漏洞
http://www.wooyun.org/bugs/wooyun-2010-048487
后台管理系统的弱密码
http://www.wooyun.org/bugs/wooyun-2010-08014
一些测试用的上传页面(test.php upload.php etc..)未删除等。
我们通常都能发现一些常见的入侵原因竟然就是这种简单的方法,千里之堤,溃于蚁穴,因此从一些小细节中提升安全性显得颇为重要。
对于这些常常忽略的风险,阿里云云盾出提供了全套的解决方案,包括常见高危漏洞的检测和修复,对于不想过于投入精力在这方面的用户,完全可以使用云盾解决这类问题。
防入侵永远不是一件可以掉以轻心的事情,相信随着数据在现代社会中逐渐发挥作用,对数据的保护显量犹为重要,防入侵就是一件保护数据安全的重要使命,阿里云作为国内目前最优秀的云计算平台想要告诉用户的是,在阿里云,安全是我们可以为用户提供的最基础最重要的价值之一。