传统的安全应急响应相信大家都见过,在之前的博文中也有过介绍。上周末我们的一个客户发生的虚拟货币丢失事件,我们安全组介入排查,当时很久都没有头绪,经过某同事的灵光一闪,我们发现了转机。一句话而言,云计算安全我们要考虑云计算和虚拟化的一些特性,避免被我们常见的应急响应思路所限制住。下面来说说详情,由于部分信息敏感,请原谅马赛克处理:

  • 原因:

  核心支付代码逻辑被插入了一个陌生的区块链交易地址,每调用这个函数就转走特定的虚拟货币到特定地址。

  这块涉及一个小的应急知识点,感谢sfish分享,在~/.ssh下存在vim的编辑历史,我们可以通过这个小黑科技去分析一下对方篡改的文件。

cat ~/.viminfo

  • 最百思不得其解也最显而易见的事儿

  最费解的来自于这段日志。系统发生了一次down机(New seat seat0),说明系统重启过。然后黑客就登录到了root权限,因为事先的机器sshd文件都只允许公钥登录,且所有账户都是强口令。一些都很匪夷所思,为啥重启了一次系统的配置文件都改变了非常的奇怪,难道黑客手里有什么大狠狠的0day我们不知情?

  这次应急卡在了这里相当久时间,大约有3个小时,我们始终难以理解。直到我们同事说了句不经意的话,我一般攻击阿里云都通过ak接口还原镜像!

  对关键就在这里,镜像!!平时我们用虚拟机的时候觉得没事做个快照是很顺手的事儿,然而面临生产环境的时候,我们还以传统的IDC思维去思考问题,造成了卡壳。因为还原镜像一定会造成一次down机,所以在考虑云计算安全事件的时候镜像本身也是一个不能忽略的点,我们只考虑到了溢出,弱口令等传统攻击方式,却没有想到黑客可以通过还原镜像进行相应的攻击。最后我们在客户非自己打包的镜像中,发现了黑客的history记录。

  剩下的事儿,大家看看也就明白了。

  • 总结:

  这篇文章非常短,但我们踩过的坑却是无数的。主要是云计算条件下,镜像是一个非常重要的黑客攻击点。基于ak接口的攻击思路,我会在下片博文中详细赘述。由于事件敏感,本文打了大量的马赛克,希望大家再云安全应急响应的过程中能够多学习到一种思路。

  

  

转载于:https://www.cnblogs.com/Hyber/p/7552264.html

记一次云安全的安全事件应急响应相关推荐

  1. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  2. 红蓝对抗-记一次HW攻防实战应急响应流程

    记一次HW攻防实战应急响应流程 文章目录 记一次HW攻防实战应急响应流程 背景 溯源 后续反思 背景 记一次今年五月份为期两周的的HVV应急演练. 红队发表了攻击报告,直接给我们扣了七千多分. 客户和 ...

  3. 网络安全事件应急响应实战

    一.应急响应 1.Window入侵排查 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵 ...

  4. 记一次盖茨木马应急响应

    前言:​ 这是一篇两年前的应急响应了,今天拿出来给大家分享一下排查思路 客户阐述 客户说服务器中病毒了,不占用CPU和带宽,但是影响业务:有两拨人去清除过了,但是每次都是没多久就又出来了,形容的比较模 ...

  5. 记一次Windows勒索病毒应急响应实战

    查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:\Users\gy\AppData\Roaming\Microsoft ...

  6. 信息安全-网络安全应急响应技术原理与应用(二)

    一.网络安全应急响应技术与常见工具 1.1 网络安全应急响应技术概况 网络安全应急响应是一个复杂的过程,需要综合应用多种技术和安全机制 在网络安全应急响应过程中,常用到的技术如表所示 应急响应常用技术 ...

  7. 【应急响应】没有痕迹该如何进行最优解

    应急响应或者技术人员的方法论 在叙述本次应急响应前,先把方法论的前因后果讲解一下,以便可以带着方法论进入问题处置的过程,这样体会可能会更好一点,以便可以帮助到正在提升的我们. 因为技术人员不能只关注技 ...

  8. 企业安全建设丨标准化建设之网络安全应急响应浅析

    随着网络安全法的实施以及安全事件频发,企业对于内部的安全建设也越来越重视.大公司的企业安全建设咱们先不说,我们今天就来分享下中小型企业应该如何建设标准化的网络安全体系.一般企业不发生数据泄露都不会当回 ...

  9. 01应急响应相关概述与流程

    基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件.蠕虫事件.特洛伊木马事件.僵尸网络 ...

最新文章

  1. (c语言)和与积的运算第四篇
  2. 基于Vue项目打包上线配置
  3. origin 绘制箱图
  4. 微信小程序打开手机的手电筒
  5. #pragma once 用法总结
  6. AI遇上农业会怎样?最新UNT《智慧农业》2022全面综述农业4.0发展的架构、技术、应用等
  7. linux-什么是Linux系统?linux详解Linux与Windows的区别Linux发行版本及特点介绍
  8. 常用的dede标签小总结
  9. 【Spring】IoC容器系列的设计与实现:BeanFactory和ApplicationContext
  10. Spring Security(一):最简单的Spring Security程序
  11. 前端三剑客 HTML、CSS、JavaScript 入门到上手
  12. 文件下载时设置文件名以及中文被转换成下划线的解决办法
  13. mysql master status_mysql show master status为空值
  14. 对技术的态度(酷壳)
  15. 人工智能技术应用就业前景和就业方向
  16. Fluent应用技巧-自定义材料
  17. Django计算机毕业设计jspm高校职称申报系统(程序+LW)Python
  18. 实验三 敏捷开发与XP实践
  19. selenium实例
  20. python爬虫练习--爬取站长素材中免费简历模板

热门文章

  1. TomCat服务器和Web应用
  2. java中异常处理机制
  3. Java Iterator 接口简介和简单用法.
  4. 深究AngularJS——ui-router详解
  5. java编程题有难度的_算法与编程面试题 不喜勿喷 难度指数:*****...
  6. 初探云原生应用管理(一): Helm 与 App Hub
  7. 学c语言用vs,毫无编程基础的小白准备学习C语言,用VC6还是VS2015?
  8. 服务器高并发时请求报错_基于redis的分布式锁防止高并发重复请求
  9. netty socket超时设置_Netty 学习和进阶策略
  10. Ceres Solver Document学习笔记