· Facebook：8700萬用戶數據泄露
· 俄羅斯黑客入侵美國電網
· AcFun：900萬條用戶數據泄露
· 黑客利用思科智能安裝漏洞攻擊網絡基礎設施
· Github遭遇Memcached DDoS TB級攻擊
——2018年讓人哭到血槽空的安全事件

雖然很多人都清楚雲計算的優點，但卻因各種安全威脅而對其望而卻步。對於介於互聯網發送的無定形資源與物理服務器之間的事物，確實讓不少人費解。但其實它只是一種不斷變化的動態環境，其面臨的安全威脅會不斷變化。

這也就意味着，在很大程度上，雲安全性即 IT 安全性。在理清這兩者的具體區別之後，您就不會再覺得"雲"這個詞不安全了。

爲了幫助大家更好地來理解這一點，我們將和大家分享一起發生在2018年底的真實客戶安全事件案例。

網路千萬條，安全第一條

事件概述

2018年底，客戶發現在訪問網站主頁時頁面會跳轉到博彩網站，懷疑已經被黑客入侵。與此同時，立馬聯繫了京東雲安全團隊進行入侵分析。

入侵分析

通過查看/home/www/index.php的最後修改時間爲2018年10月20日，且與用戶發現主頁被篡改的時間較爲吻合，所以初步判斷主頁被篡改即系統被入侵的時間爲2018年10月20日。黑客在主頁中寫入的JS代碼如下圖：

分析過程如下：

賬戶安全排查

通過Last命令查看主頁被篡改前，是否有可疑IP登錄主機，如下圖所示，在期間並未有可疑IP登錄主機。

查看/etc/shadow文件後確認主機中沒有ROOT以外可以用來登錄主機的用戶，且ROOT用戶的密碼複雜度高，難以被破解，由此可初步認爲攻擊者並不是通過暴力破解SSH來登錄主機。

端口服務及進程排查

對主機中的進程進行排查，並未發現可疑的進程

使用 netstat 網絡連接命令，分析可疑端口、IP、PID

通過上圖可以看出，主機所開服務有SSH、Exim、MySQL以及Nginx，但是Exim和MySQL服務都不對外開放，Nginx服務是一個可能的入侵點。

木馬後門及病毒檢測

經京東雲安全部門排查發現在Web目錄下的Ueditor目錄中，存在WebShell木馬。

通過HTTP可直接訪問到該WebShell，從而可以直接對服務器進行操作。

本次分析對rootkit後門進行排查，確認主機中並未被黑客留下Rootkit後門，並發現兩個可疑文件。

Nginx日誌排查分析

通過對Nginx日誌的排查發現，Nginx日誌不全，對域名的訪問日誌記錄全未開啓，導致入侵無法溯源。但是通過Nginx日誌僅有的部分依然可以看出有大量惡意攻擊者在對http://XXX/phpmyadmin管理後臺進行暴力破解。

分析結果

通過本次入侵分析，發現黑客入侵並沒有留下太多的日誌痕跡，並且入侵之後只掛了博彩頁面，並未利用主機進行挖礦等操作。由於日誌不全，很難斷定黑客本次入侵的具體方法是哪一種，但通過本次分析，可以總結出如下幾種可能的入侵方式：

1. 黑客在2018年7月份，通過ueditor漏洞上傳了WebShell木馬文件（http://www.XXX.cn/ueditor/php/upload/file/20180717/12136968036.php），並在10月份通過webshell修改了主頁；

2. 通過爆破phpMyadmin（http://XXX/phpmyadmin/）以root權限進入後進行入侵操作；

3. 由於主站使用了帝國CMS框架且版本爲7.2，存在較多漏洞，黑客可通過暴力破解進入後臺中，可利用漏洞上傳木馬後入侵；

4. 主機中開啓Exim服務，存在遠程代碼執行漏洞，雖然現在未對外開放，若曾經對外開放過，可能在當時已被入侵。

安全建議

木馬後門

1. 請及時刪除本次發現的木馬後門等可疑文件。如上所示的幾個可疑文件，以及Web目錄下的WebShell文件。

2. 建議使用主機安全防護產品，以降低服務器受木馬病毒攻擊的風險。

後臺安全

1. 針對所有後臺，如上述phpMyadmin、以及帝國cms的後臺。如果不需要，請不要對外開放，如果有需要對外訪問，可疑使用ACL規則只允許白名單中的ip訪問。後臺不使用默認路徑，儘可能將目錄複雜化，不容易被黑客發現。

2. 針對所有後臺，請將後臺的密碼設置爲強密碼，降低被暴力破解的可能。

存在漏洞的服務和組件

1. 本次分析中發現，服務器中使用了存在高危漏洞的組件或服務，請儘快更新。如ueditor、帝國cms、exim都是可能存在高危漏洞的版本，需要升級到最新版本，避免漏洞被利用。

2. 請關注所用組件和服務的更新情況，及時對舊版本進行更新，避免錯過漏洞修復補丁。

應用安全

建議使用WAF防火牆保護網站，降低黑客入侵的風險。

Nginx日誌保存

爲了保證被入侵後能溯源入侵過程，請開啓Nginx日誌（配置文件在目錄/usr/local/nginx/conf/vhost/），並確保至少能保存6個月。

引入安全服務產品的必要性

通過以上的客戶案例，能夠說明很多客戶對自己的系統存在的潛在風險並不清楚，且不知道如何入手。

本次案例展示的是一次京東雲應急響應服務的實際案例，應急響應服務是在用戶已經遭受黑客入侵事件後，提供包含括抑制止損、事件分析、系統加固、事件溯源等應急響應服務，幫助用戶降低安全事件對自身造成的影響與損失。

而用戶更需要的是在黑客入侵事件發生前，儘早發現系統中的各種潛在威脅，及時修復安全漏洞，提前做好安全加固，防範於未然。

京東雲安全服務簡介

京東雲專業可靠的滲透測試服務能夠幫助用戶更全面更深入的發現系統中的潛在風險。

可以最大限度，最低成本保護好用戶的網站和核心數據，避免用戶由於黑客網絡攻擊而造成重大損失。

滲透測試簡介

滲透測試（Penetration Testing）是由具備高技能的專業安全服務人員發起的，通過模擬常見黑客所使用的攻擊手段對目標系統進行模擬入侵。

滲透測試服務的目的在於充分挖掘和暴露系統的弱點，從而讓用戶瞭解其系統所面臨的威脅。

滲透測試不同於脆弱性評估，在實施方式和方向上也與其有着很大的區別。脆弱性評估是在已知系統上，對已知的弱點進行排查。滲透測試往往是"黑盒測試"，測試者模擬黑客，不但要在未知系統中發現弱點，而且還要驗證部分高危險的弱點，甚至還會挖掘出一些未知的弱點。

滲透測試的必要性

由於實施滲透測試的技術人員都具備豐富的安全經驗和技能，所以其針對性比常見的脆弱性評估會更強、粒度也會更爲細緻。

另外，滲透測試的攻擊路徑及手段不同於常見的安全產品，所以它往往能暴露出一條甚至多條被人們所忽視的威脅路徑，從而暴露整個系統或網絡的威脅所在。

最重要的是，滲透測試最終的成功一般不是因爲某一個系統的某個單一問題所直接引起的，而是由於一系列看似沒有關聯而且又不嚴重的缺陷組合而導致的。日常工作中，無論是進行怎麼樣的傳統安全檢查工作，對於沒有相關經驗和技能的管理人員都無法將這些缺陷進行如此的排列組合從而引發問題，而專業的滲透測試人員卻可以靠其豐富的經驗和技能將它們進行串聯並展示出來。

京東雲滲透測試服務

京東雲可爲用戶提供專業可靠的滲透測試服務（Penetration Test Service），對用戶現有系統不造成任何損害的前提下，以攻擊者視角，模擬黑客入侵的技術手段對用戶指定系統進行全面深入的攻擊測試，發現系統中潛在的風險威脅，幫助用戶降低因黑客入侵帶來的經濟損失。

滲透測試流程