IT知识库 购物 网址 游戏 小说 歌词 快照 开发 股票 美女 新闻 笑话 | 汉字 软件 日历 阅读 下载 图书馆 编程 China
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
vbs/VBScript DOS/BAT hta htc python perl 游戏相关 VBA 远程脚本 ColdFusion ruby专题 autoit seraphzone PowerShell linux shell Lua Golang Erlang 其它教程 CSS/HTML/Xhtml html5 CSS XML/XSLT Dreamweaver教程 经验交流 开发者乐园 Android开发资料
站长资讯 .NET新手 ASP.NET C# WinForm Silverlight WCF CLR WPF XNA VisualStudio ASP.NET-MVC .NET控件开发 EntityFramework WinRT-Metro Java C++ PHP Delphi Python Ruby C语言 Erlang Go Swift Scala R语言 Verilog 其它语言 架构设计 面向对象 设计模式 领域驱动 Html-Css JavaScript jQuery HTML5 SharePoint GIS技术 SAP OracleERP DynamicsCRM K2 BPM 信息安全 企业信息 Android开发 iOS开发 WindowsPhone WindowsMobile 其他手机 敏捷开发 项目管理 软件工程 SQLServer Oracle MySQL NoSQL 其它数据库 Windows7 WindowsServer Linux
  IT知识库 -> 信息安全 -> 记一次云安全的安全事件应急响应 -> 正文阅读

[信息安全]记一次云安全的安全事件应急响应

记一次云安全的安全事件应急响应   传统的安全应急响应相信大家都见过,在之前的博文中也有过介绍。上周末我们的一个客户发生的虚拟货币丢失事件,我们安全组介入排查,当时很久都没有头绪,经过某同事的灵光一闪,我们发现了转机。一句话而言,云计算安全我们要考虑云计算和虚拟化的一些特性,避免被我们常见的应急响应思路所限制住。下面来说说详情,由于部分信息敏感,请原谅马赛克处理:
原因:

  核心支付代码逻辑被插入了一个陌生的区块链交易地址,每调用这个函数就转走特定的虚拟货币到特定地址。
  这块涉及一个小的应急知识点,感谢sfish分享,在~/.ssh下存在vim的编辑历史,我们可以通过这个小黑科技去分析一下对方篡改的文件。

cat ~/.viminfo

最百思不得其解也最显而易见的事儿

  最费解的来自于这段日志。系统发生了一次down机(New seat seat0),说明系统重启过。然后黑客就登录到了root权限,因为事先的机器sshd文件都只允许公钥登录,且所有账户都是强口令。一些都很匪夷所思,为啥重启了一次系统的配置文件都改变了非常的奇怪,难道黑客手里有什么大狠狠的0day我们不知情?
  这次应急卡在了这里相当久时间,大约有3个小时,我们始终难以理解。直到我们同事说了句不经意的话,我一般攻击阿里云都通过ak接口还原镜像!
  对关键就在这里,镜像!!平时我们用虚拟机的时候觉得没事做个快照是很顺手的事儿,然而面临生产环境的时候,我们还以传统的IDC思维去思考问题,造成了卡壳。因为还原镜像一定会造成一次down机,所以在考虑云计算安全事件的时候镜像本身也是一个不能忽略的点,我们只考虑到了溢出,弱口令等传统攻击方式,却没有想到黑客可以通过还原镜像进行相应的攻击。最后我们在客户非自己打包的镜像中,发现了黑客的history记录。

  剩下的事儿,大家看看也就明白了。
总结:
  这篇文章非常短,但我们踩过的坑却是无数的。主要是云计算条件下,镜像是一个非常重要的黑客攻击点。基于ak接口的攻击思路,我会在下片博文中详细赘述。由于事件敏感,本文打了大量的马赛克,希望大家再云安全应急响应的过程中能够多学习到一种思路。
  
  
上一篇文章      下一篇文章      查看所有文章
加:2017-09-19 23:37:16  更:2017-09-19 23:37:18 
 
  信息安全 最新文章
基于MD5的增强型摘要算法
【原创】【小程序开发教程】2、小程序域名配
秒懂VPN与网络代理(Proxy)的关系
渗透之信息收集
HTTP协议详解
UBER公司5700万用户信息泄露我们学到什么
SSL证书生成流程
也许,这样理解HTTPS更容易
SSL编程(2).NET最简单的客户端
Bugku
技术频道: 站长资讯 .NET新手区 ASP.NET C# WinForm Silverlight WCF CLR WPF XNA Visual Studio ASP.NET MVC .NET控件开发 Entity Framework WinRT/Metro Java C++ PHP Delphi Python Ruby C语言 Erlang Go Swift Scala R语言 Verilog 其它语言 架构设计 面向对象 设计模式 领域驱动设计 Html/Css JavaScript jQuery HTML5 SharePoint GIS技术 SAP Oracle ERP Dynamics CRM K2 BPM 信息安全 企业信息化其他 Android开发 iOS开发 Windows Phone Windows Mobile 其他手机开发 敏捷开发 项目与团队管理 软件工程其他 SQL Server Oracle MySQL NoSQL 其它数据库 Windows 7 Windows Server Linux
脚本语言: vbs/VBScript DOS/BAT hta htc python perl 游戏相关 VBA 远程脚本 ColdFusion ruby专题 autoit seraphzone PowerShell linux shell Lua Golang Erlang 其它教程
网站开发: CSS/HTML/Xhtml html5 CSS XML/XSLT Dreamweaver教程 经验交流 开发者乐园 Android开发资料
360图书馆 软件开发资料 文字转语音 购物精选 软件下载 新闻资讯 小游戏 Chinese Culture 股票 三丰软件 开发 中国文化 网文精选 阅读网 看图 日历 万年历 2018年12日历
2018-12-10 19:43:15
多播视频美女直播
↓电视,电影,美女直播,迅雷资源↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT知识库