觉得安全。近日,B站UP主NAS被黑客攻击事件在网上闹得沸沸扬扬。只是我早年经历过一两次安全事件。在此记录一下,告诫后来者,安全无小事。不要盲目关闭防火墙~Memcached放大攻击。有一段时间,IDC机房搬迁,从电信机房搬到联通机房,网络设备要重新调试。当时为了省事,直接操作奇智堡垒机。调试过程中没有人。并发连接进来了,干脆把防火墙关了,开始调试。调试完忘记关掉防火墙了。这很尴尬。奇智堡垒机使用的是Memcached。当时Memcached放大攻击风头正劲,我也中招了,现象是入口带宽满了,原来200M的出口带宽增加到500M,瞬间还是满的,最后的措施就是断网堡垒机,OPS使用预留的备份方案来登录机器维护,联系厂家重做系统~至于如何定位Memcached的问题,是因为当时监控比较全面。首先是发现入口带宽满了,然后具体到设备上,堡垒机的带宽比较大,处于不可用状态。然后联系IDC的人帮忙把堡垒机的外网流量断开,立马down了,结合安全专家的帮助验证,就是这个结论,PS:奇智堡垒机也是基于linux的,但是定制的关闭其他很多功能~PS:奇智的管理账号有两套密码,一套是发给用户的,一套是他们售后知道的(不知道现在有没有变化)。Memcached的相关资料:https://www.freebuf.com/news/...DDG僵尸网络(挖矿的一种)又是DDG挖矿僵尸网络,变异了。公网IP用于测试运行,我的群友会和网络同事进行联调服务对应的机器的外网端口映射操作。入口是F5。万万没想到直接把这个服务器映射出去,导致22端口暴露。出去,机器上安装了Zabbix,Zabbix对应的账号是/bin/bash,而且是弱口令.后来根据日志回溯,发现对方是用字典来爆破的。总共用了23个小时,成功爆破Zabbix密码,然后进入内网。可惜当时Zabbix是批量安装的,所以~密码基本一致,内网几乎是瞬间掉线(主要是同一网段的机器)~主要症状是机器CPU满载,目前尚不清楚收到警告的时间。我觉得很奇怪,有两个不跑什么重量级的业务机器的CPU是200%,不合理。我去检查了一下,没有发现什么特别的异常。对比正常机器,发现/var/log/secure日志中的同一内网机器IP一直在尝试使用zabbix账号。登录目前看到正常的机器,然后在本机上执行最后一条命令,发现有公网IP登录的痕迹,很奇怪。我们在操作OPS的时候,也是使用VPN+堡垒机。关于网络IP登陆的情况,咨询了安全大佬,建议查看计划任务、隐藏文件、引导文件、进程和用户等。。。然后写了个脚本在内网批量运行,然后发现zabbix用户目录和/tmp目录下确实存在隐藏文件。这些文件名带有明显的单词ddgs~。获得这些信息后,运行一个脚本来清理它。内网趋于平静,所以我很害怕~DDG相关文档:https://blog.netlab.360.com/d...反思虽然这两件事已经过去这么多年了,但是结合两次安全故障描述,大家不难发现,这都是人为造成的。第一种是因为防火墙关闭了,没有及时开启。二是因为外网映射出来后没有审核。好在没有造成不好的影响。不得不说是不是安全意识不够,没吃过苦头是绝对不会采纳老人家的建议或意见的~SSH保护fail2bandenyhosts写脚本,安全加固等,详细写出来故障排除~
