奇虎360高级安全研究员李福：别让黑客毁掉运维(2)

GitHub 运维脚本,邮箱是否可以连通,使用了自己的账号和密码.比较配合地将内容上传到 GitHub,黑客用关键字搜索这家公司域名的时候,发现运维脚本,然后登录了统一认证系统,统一认证系统说手机二次验证,因为没有手机号.

攻击者通过邮箱的密码给了邮件,说我的手机号码换了,确认一下身份,我是某某,手机号换多少.手机号修改成攻击者自己的,经过了二次验证.

在内网核心的攻击是代码支持库,核心代码的 SVN 与 GitHub.后台系统在管理人员看来已经为所欲为.

3、运维躺过的那些坑

3.1 基础服务上的安全风险

基础服务的安全风险无非就是弱口令、未授权、配置不当.上图列的是代码备份的访问,连上去可以下代码和操作的.

通过未授权可以获得服务器的选项,因为可以执行系统命令.

3.2 如何去改进

• 访问控制访问控制,办公网和测试网与生态环境要进行隔离.不能说现场服务器修改代码备份,我把测试服务器当现场服务器用.

  这里有一个典型的例子,有黑客对网站进行攻击的时候,发现测试系统存在弱口令,原因是因为测试环境和生产环境混在一起了导致存在弱口令,这样的问题很容易出现.

  另外同事之间不在自己的电脑上搭建外部服务或者说开启一些敏感端口,黑客入侵到内网的时候,会先入侵到内网的服务器.入侵办公网,这个概念又是不一样,因为个人电脑存储敏感信息比服务器更多.

• 权限限制权限控制是最小权限,什么人可以用什么就给他什么用.明明做内部系统,为什么开放外网.运营的权限,为什么开管理员权限的后台.
• 密码策略密码策略,弱口令和密码组合,通过信息泄露对系统和员工做口令攻击.更换周期尽量得到保证,因为无法确定你的密码是不是会被泄露.
• 漏洞跟踪漏洞跟踪,已知的漏洞能修复就修复,有的漏洞修复后黑客无从下手.

4、总结

我作为攻击者,做安全评估时间很长.但自己总是站在防疫的角度看,安全是一个整体,细节再安全难免有疏忽.攻击者总是寻找薄弱点进行攻击,木桶原理.作为防御者我会以攻击者的角度来防御.

未知攻,焉知防.只有知道怎么攻击,才能更好地防御.

原文来自微信公众号：高效运维

（编辑：ASP站长网）