运维安全的攻与防-.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,运维安全的攻与防,1,KNOW,IT,2,开源带来的风险,-,php,官方代码被改了,开源代码被篡改,(php/chef/ssh/vsftpd,.),某些开发人员的安全编码规范不行,架构设计范围太广，安全可控性差，成本高,3,信息的泄漏,-,58,火了,一个,dns,区域传送泄漏所有子域名,一个,mongodb agent,端口对外，非授权访问情况下，直接,get shell,一个,svn,信息泄漏，导致源代码被拖，挖洞，入侵官方，进行内网渗透。甚至导致,svn,服务器被黑，篡改代码，所有相关同步服务器沦为

2、肉鸡。,一个管理网后台泄漏，导致,58,被脱裤。,一个,zabbix,后台泄漏，导致所有服务器沦为肉鸡,一个备份文件泄漏，导致源代码,Rsync,信息泄漏,Hadoop,集群地址，将会导致。,4,权限问题,应用服务用户权限过高,存储敏感信息任意用户可读,执行脚本代码可注入,5,密码问题,-,优酷,/,奇艺,挂了,默认密码,弱口令,第三方导致的密码泄漏,一个密码走天下,案例,:,从一个默认口令到,youku,和,tudou,内网,www.wooyun.org/bugs/wooyun-2010-019917,6,大家有疑问的，可以询问和交流,可以互相讨论下，但要小声点,7,自动化带来的问题,-,这

3、个很,暴力,通常我们搭建一个服务器通过,http,来下载一些安装包,.,恩，很方便,如果包被篡改怎么办？,缺乏监控，校验和审计流程，风险大，可控性差,开发人员安全编码不够规范,例如：,opscode,的,chef,一个普通的客户端用户可以通过,api,访问到其他的用户了客户端信息，以及一些帐号密码，包括曾经存在的其他越权漏洞，可以导致从一个客户端之间入侵到其他客户端甚至服务器端，最终导致所有网络瘫痪。,8,默认,/,错误配置的风险,-,Treasure Data,被黑,Jboss,直接通过,jmx-console,部分上传,webshell,Mongodb,任意,ip,访问，默认无授权，存在远

4、程溢出漏洞,Memcache,任意,ip,访问读取数据，无任何验证,Nginx,网上错误的,nginx php,解析配置,Hive,的,tranform,函数导致任意代码,/,命令执行,Apache,错误的目录不解析,php,配置,9,流量攻击,-,低成本，高损失,Ddos,攻击,Cc,攻击,其他各种网络攻击,10,0day-0day,在手，长枪我有,GOOGLE,等三十多个高科技公司的极光攻击,美国能源部的夜龙攻击,针对,RSA,窃取,SECURID,令牌种子的攻击,针对伊朗核电站的震网攻击,据统计,2011,年,NASA,被成功入侵,13,次,一个贴近我们的实例，,nginx,解析漏洞。,

5、11,误操作带来的纠纷,某天我们某服务器的防火墙发现被人关了,然后大家都是说：我没动，是不是你们那边谁弄得啊。,闹鬼？,什么时候？哪里来的？谁干的？还干了什么？,12,HACK,IT,13,访问控制,内部,/,办公网和平台网络的隔离,平台网站后台,/zabbix,后台限制,ssh/memcache,等端口访问控制,开发运维人员测试机网络要和线上运营服务器隔离,统一采用密钥验证,进一步的审计和规范还没做。,14,运维操作审计系统,实时地、完整地记录基于,SSH,协议访问的用户操作，并提供方便灵活的操作回放或查询检索的手段和操作进行过程的抓取，从而可以录像方式对所有运维人员的所有操作进行记录，并具

6、备强大的搜索功能，可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取,从而达到真正意义上的审计与风险控制。,15,Ngx_lua_waf,Waf,的功能,过滤常见的,web,攻击,过滤常见的敏感文件泄漏,屏蔽常见的扫描黑客工具,屏蔽异常的网络请求,屏蔽图片附件类目录,php,执行权限,防护,cc,攻击,帮助发现，记录,分析黑客攻击行为,了解平台被攻击情况,一起来看下我们的,waf,代码,新,waf,的代码和畅想,16,Webshell,监控,Webshell,监控：自研发对网站文件操作进行实时监控，并对恶意文件进行本地记录。然后报警,(,邮箱，,RTX),，并且入库检测报警上报到运维安全

7、中心。,17,漏洞检测系统,SQL Injection,XSS,CSRF,JSON Hijacking,OS Injection,Etc.,high-risk port,low version,remote overflow,unsecu config,weak pwd,Etc.,18,主机安全,agent,19,端口扫描,/,弱口令检查,基于,nmap+medusa,定期对平台的危险端口和弱口令自动进行检测，以邮件方式发送给相关负责人,20,日志分析,基于大数据对日志进行分析，得出常规分析，安全分析，漏洞扫描，,webshell,检查,21,安全运营中心,22,渗透性测试,在保障业务不受影响的情况下，从攻击者的角度出发对公司平台进行安全测试，渗透性测试的基本方法包括：黑白盒。,23,应急响应,24,云安全,-Security as a service,25,总结,安全,无,绝对，攻击和防守永远是此消彼长的一个过程,因此安全需要大家共同参与，不断完善加强,26,27,