开发者社区> anxin> 正文

遇到了这种情况,赶紧上个堡垒机

简介: 堡垒机不是摆设,假如您也遇到了类似的情况,赶紧上个堡垒机。
+关注继续查看

几天前我们的一个制造业的客户突然给我打了一个电话,说是他们的服务器被入侵了,具体的现象是他们的一个OA软件的实施顾问正在运维部署一台Windows服务器的过程中突然被人“挤掉”了,然后阿里云的云安全中心控制台告诉他服务器在非常用地点被人登录了。

接到求援电话后我立即调阅分析了云防火墙、云WAF、云安全中心的相关事件日志,确实有两个在非常用地登录的预警,但云WAF和云防火墙中没有比较明显的被入侵的痕迹,在这种情况下我立即建议客户更换一下Windows服务器的管理员口令,并和OA的实施方去确认是否有其他同事登录过这台服务器,结果反馈的信息是否定的,OA实施方并没有其他同事登录过服务器。

得到这个信息后我又去仔细的检查了一下云防火墙、云WAF、云安全中心的日志,还是没有看出明显的被攻破的痕迹,假如通过应用和操作系统的漏洞进入了服务器肯定是会留下痕迹的,尤其是在云防火墙的主动外联流量里或多或少都会留下蛛丝马迹,但这次确实没有。

难道真的是被人暴力破解了口令?应该也不会,因为云安全中心拥有防暴力破解策略,强行猜测口令出错达到一定次数后会被自动屏蔽。

现在的情况就相当于家里的门锁被人直接拿钥匙打开了,完全没有敲砸的痕迹。

难道是钥匙丢了?依据奥卡姆剃刀定理,我倾向于这种假设。

奥卡姆剃刀定理的应用:如果对于同一现象有两种或多种不同的假说,我们应该采取比较简单或可证伪的那一种。

那到底是谁登录了服务器呢?又是谁泄露了登录口令呢?时间将告诉我们答案。果不其然,过了一会儿客户给我打来了电话,告诉我案件终于侦破了。原来是OA实施方的人员将管理员口令告诉了ERP的实施顾问,ERP的实施顾问登录了OA服务器,因为管理员口令已经被修改了所以ERP的实施顾问登录不了了去询问这才水落石出。

之所以OA服务器的密码会告诉ERP的实施顾问是因为这一段时间客户的信息化系统正在进行升级改造,需要ERP、OA进行集成整合,因此在很多时候为了简单直接的完成工作,实施方的顾问们会倾向于采用这种方式进行协作。其实这种情况在很多客户那里都存在,在事后追溯过程中也不容易定位到底是谁登录了服务器,谁又做了什么操作,假如出现了数据丢失或其他损失,相互的推诿扯皮估计是免不的。

上个堡垒机,问题将迎刃而解。我们可以在堡垒机上为每个实施顾问单独创建个人账号,顾问们能够登录哪些服务器可以随时进行授权,实施顾问们通过自己的个人账号登录堡垒机再转到服务器上进行实施和运维过程操作,在此过程中的所有操作将被堡垒机完整记录以便于事后追溯。假如不希望顾问继续访问这台服务器了,修改或删除策略即可让这个顾问无法访问对应的服务器,在此过程中实施顾问始终不知道服务器的管理员用户名口令。

假如您也遇到了类似的情况,赶紧上个堡垒机。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
18772 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
18683 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
17067 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
9267 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
12801 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
21572 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
13853 0
+关注
anxin
阿里云辽宁授权服务中心大连奥远电子股份有限公司技术总监、阿里云ACE认证架构师、阿里云MVP。
144
文章
1
问答
来源圈子
更多
阿里云最有价值专家,简称 MVP(Most Valuable Professional),是专注于帮助他人充分了解和使用阿里云技术的意见领袖阿里云 MVP 奖项为我们提供了这样一个机会,向杰出的意见领袖表示感谢,更希望通过 MVP 将开发者的声音反映到我们的技术路线图上。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载