4����、探秘黑客蹤
4.1 寓言公寓樓
? ? 城市一角有一棟單身公寓樓,公寓有門(mén)有窗�����。到了晚上,主人下班回來(lái)�,拿鑰匙打開(kāi)門(mén)進(jìn)屋,關(guān)門(mén)熄燈休息����, 平時(shí)窗戶(hù)半開(kāi)著,通風(fēng)透氣�����,保持空氣清新����。
? ?
一臺(tái)云服務(wù)器好比作一間單身公寓。黑客好比作不速之客�����,不請(qǐng)自來(lái)���,黑客進(jìn)屋有兩條路可走��,一條路是開(kāi)門(mén)大搖大擺進(jìn)來(lái)���,另一條路是翻窗進(jìn)屋��,多少需要一些飛檐走壁的功夫�。
? ? 公寓門(mén)比較先進(jìn)�,使用了電子密碼鎖,需要輸入正確密碼才能開(kāi)門(mén)進(jìn)屋����。黑客是不知道密碼的,不能進(jìn)屋����。
? ?
單身公寓的1605室在16樓,小明在這間公寓里住了小一年了���,最近新交了一位朋友小芳�,這段時(shí)間留宿在公寓�。小明和新朋友上下班有早有晚���,所以小明給她開(kāi)了一個(gè)新賬號(hào)�,設(shè)了新密碼���。小明有點(diǎn)懶����,把賬號(hào)和密碼設(shè)成一樣的了,心想16樓很少有人來(lái)�,樓道有24小時(shí)監(jiān)控,諒他也沒(méi)人敢私闖民宅�。
? ? 過(guò)了一個(gè)月,兩人鬧別扭����,小芳就搬出去住了。小明心情不好�,獨(dú)自郁悶,忘記收回給小芳的賬號(hào)密碼��。
? ?
社區(qū)附近來(lái)了一個(gè)外國(guó)流浪漢����。流浪漢是一名高智商的人士,喜歡無(wú)拘無(wú)束�����,過(guò)著狂野不羈的生活�。有一天�,流浪漢在公寓樓內(nèi)閑逛����,走著走著就到了1605房間,看見(jiàn)門(mén)上有一位姑娘頭像剪影�����,還紋上了幾個(gè)字母“fang”�����,那是小明和小芳秀恩愛(ài)時(shí)留下的�����。流浪漢靈機(jī)一動(dòng)�,不是很多人拿親友名字做密碼嗎?且試一試密碼鎖���。這一試不要緊���,公寓門(mén)居然打開(kāi)了�。
? ?
于是����,流浪漢住進(jìn)了這間單身公寓��,和小明過(guò)起了錯(cuò)峰式“同居”生活��。小明白天去上班�����,晚上回家住���。流浪漢白天過(guò)來(lái)住公寓�,自個(gè)兒做飯吃����,吃飽了就睡,天黑前離開(kāi)�。后來(lái),流浪漢不滿足了���,晚上也來(lái)公寓�����,怕被主人小明發(fā)現(xiàn)���,偷偷在小明喝水的杯子里放了一粒安眠藥���,溶解了無(wú)影無(wú)蹤,小明喝了下了安眠藥的白開(kāi)水�,晚上會(huì)睡得很香、很沉��。于是�,晚上也是流浪漢的天下了。
? ?
如此“同居”過(guò)了一個(gè)月���,小明發(fā)現(xiàn)了一些異常�����,冰箱里的雞蛋莫名其妙少了幾個(gè)���,茶幾上的面巾紙也用得很快,早上帶走了垃圾��,晚上回來(lái)垃圾桶里又冒出啃剩下的雞腿骨���。
? ?
小明把這些異常情況跟他的好朋友小清說(shuō)了�����,小清是一位知名的私家偵探��,破獲很多疑難案件���。接到小明的消息,小清立刻來(lái)到小明的公寓����,里里外外勘察了一遍,然后小明就去上班了�����。小清的目光留在公寓門(mén)上的姑娘剪影和“fang”上����,似乎明白了什么。輸入密碼�,公寓門(mén)自動(dòng)打開(kāi)了。小清又到大樓的視頻監(jiān)控室����,調(diào)閱了小明公寓外的監(jiān)控視頻���,看到那名流浪漢每天來(lái)來(lái)往往。小清修改了公寓門(mén)密碼�����,又報(bào)了警�。警方調(diào)查以后,發(fā)出了通緝令��。
? ? 晚上���,小明回來(lái)���,小清把發(fā)生的一切一五一十地告訴了小明,小明大吃一驚��,然后就開(kāi)心地笑了���,很高興能有小清這樣的偵探朋友����。?
4.2 查詢(xún)?cè)L客志
? ?
前面說(shuō)到,一臺(tái)云服務(wù)器好比一間單身公寓���,而黑客就好比闖入公寓的流浪漢�����。進(jìn)入公寓可以從門(mén)進(jìn),也可翻窗進(jìn)來(lái)���,從高層公寓的窗戶(hù)進(jìn)屋���,難度大一些,窗戶(hù)還拉了鋼絲網(wǎng)�����。
? ?
從門(mén)進(jìn)屋�����,對(duì)一臺(tái)云服務(wù)器就好比遠(yuǎn)程SSH登錄進(jìn)來(lái)����,云服務(wù)器主人是管理員����,也是通過(guò)SSH登錄進(jìn)來(lái)的��。云服務(wù)器對(duì)外暴露的服務(wù)端口�,可以接受訪問(wèn)請(qǐng)求返回響應(yīng),但不歡并迎不速之客從端口潛入并接管服務(wù)器�����。翻窗進(jìn)屋��,就好比攻擊云服務(wù)器的服務(wù)端口���,有漏洞的端口才能進(jìn)去����,所以翻窗難度很大
? ? 對(duì)于陌生人來(lái)說(shuō)�����,從門(mén)進(jìn)屋也不容易��,除非知道門(mén)禁密碼或者門(mén)禁遭到破壞。
? ? 有沒(méi)有陌生人闖入云服務(wù)器�����,翻一翻系統(tǒng)登錄日志就清楚了���。就像調(diào)閱單身公寓的視頻監(jiān)控�,有誰(shuí)到訪一目了然�����。
? ? Linux的last命令能查詢(xún)?cè)品?wù)器最近的SSH登錄日志����。
# last ?
圖 Linux服務(wù)器的系統(tǒng)登錄日志
?
4.3 孜孜找不同
? ?
幾年前玩過(guò)一款小游戲�,名叫找不同:兩張圖畫(huà)滿了形狀各異的物體或幾何圖形,兩張圖絕大部分相同�����,只有幾個(gè)形狀不同而且隱藏在兩張圖畫(huà)里�。從登錄日志里找蛛絲馬跡,有點(diǎn)像玩找不同的游戲��。很快找不同見(jiàn)效了,找到不同之處���,有了新發(fā)現(xiàn)��。
? ?絕大多數(shù)登錄記錄的源地址是192.168.x.x��,是云數(shù)據(jù)中心局域網(wǎng)地址�����,登錄用戶(hù)是root��,與管理員的日常管理習(xí)慣一致��。
? ? 有一條陌生IP地址記錄引起了我的注意�,登錄賬號(hào)是jira�,最后退出時(shí)間是4月8日04:09到04:19,與木馬文件sd-pam的最后修改時(shí)間“Apr
8 04:19”完全吻合��。
? ? 可以推斷����,黑客用jira用戶(hù)登錄進(jìn)系統(tǒng),在10分鐘內(nèi)植入木馬程序�����,然后揚(yáng)長(zhǎng)而去,靜靜等待“肉雞”主機(jī)傳回挖礦數(shù)據(jù)(數(shù)字貨幣)�����。
?
4.4 驚現(xiàn)無(wú)秘碼
? ? ?黑客是怎么知道登錄賬號(hào)和密碼的���?
? ?
我們知道����,SSH是應(yīng)用層通信加密協(xié)議�����,所有通信信息都是經(jīng)過(guò)高強(qiáng)度加密的�,很難破譯����,所以截獲密文再破譯的可能性幾乎為零。猜測(cè)暴力破解密碼的可能性也為零�����。猜測(cè)暴力破解密碼的可能性也為零。
? ? 黑客登錄賬號(hào)jira并不是管理員常用的root賬號(hào)�,進(jìn)一步證明賬號(hào)密碼不是破譯而來(lái)的。
? ? 還有另一種可能�,密碼丟失是因?yàn)楣芾韱T疏忽大意,使用了容易猜測(cè)的簡(jiǎn)單密碼�����,例如:123�,123456,abc�����,或者密碼干脆等于賬號(hào)�����。
? ??我們來(lái)驗(yàn)證一下�����,弱密碼的猜測(cè)是否成立�����。到目前為止,我還不知道賬號(hào)jira的密碼����。
? ? 通過(guò)跳板機(jī)用root登錄到JIRA云服務(wù)器。
然后�,切換到另一個(gè)普通用戶(hù)jira1(該賬號(hào)登錄受限,不可遠(yuǎn)程登錄)��,root用戶(hù)切換到普通用戶(hù)不用輸入密碼����。接著,從普通用戶(hù)jira1切換到用戶(hù)jira�,此時(shí)必須輸入jira用戶(hù)的密碼。輸入密碼jira����,居然切換成功了,證明jira賬號(hào)的密碼也是jira
?����。�?!這里我表示無(wú)語(yǔ)�。
# ssh [email protected]
# su – jira1
$ su - jira
? ?
云服務(wù)器有一對(duì)泄了密����、形同明文的賬號(hào)和密碼,就好比公寓泄密了密碼����,任由他人自由進(jìn)出、來(lái)來(lái)往往�。公寓被攻陷,進(jìn)了流浪漢�;服務(wù)器安全防線被攻破,“挖礦”的木馬程序被植入����,二十四小時(shí)不停地挖數(shù)字虛擬貨幣。
?
4.5 緊鎖失密門(mén)
? ? 查詢(xún)系統(tǒng)內(nèi)沒(méi)有正常進(jìn)程在使用jira用戶(hù)����,確認(rèn)jira用戶(hù)暫時(shí)閑置無(wú)用。立即修改jira用戶(hù)密碼����,并鎖定賬號(hào)。
# passwd jira # usermod -L jira
? ? 又巡視了一遍操作系統(tǒng)�,/etc/passwd�����、/etc/shadow都沒(méi)有可登陸的用戶(hù)�����。從SSH端口攻入云服務(wù)器的入口都被封堵���。
? ? 做完這些事情之后,初步判斷系統(tǒng)已經(jīng)安全后�,我的心情才逐漸舒緩下來(lái)。
? ??周一上班后立即與云服務(wù)器管理員取得聯(lián)系�,系統(tǒng)管理團(tuán)隊(duì)對(duì)云服務(wù)器集群作了漏洞掃描和安全加固。
?
4.6 探尋黑客蹤
? ? 心情放松下來(lái)���,才有空閑思考黑客從哪里來(lái)�,怎么進(jìn)來(lái)的���,還做了什么事!
? ?
查詢(xún)百度�,4月8日的黑客入侵源地址來(lái)自挪威���。但是��,黑客并不一定藏身挪威���,甚至跟挪威一點(diǎn)關(guān)系都沒(méi)有。因?yàn)槿肭衷吹刂房赡苤皇且粋€(gè)跳板����,一臺(tái)受操控的“肉雞”主機(jī)而已。
?
? ?
此后的5月1日���,又有一波黑客來(lái)襲�,大白天(下午14:34到14:41)大搖大擺地在侵入的云服務(wù)器待了6分鐘�,但并沒(méi)有修改上一波黑客留下的木馬程序。5月的黑客源地址來(lái)自瑞士���,他會(huì)是誰(shuí)呢���?是上一波黑客,回來(lái)巡視取勝的舊戰(zhàn)場(chǎng)���。還是新來(lái)的“有道德的”黑客��,看到有人捷足先登����,悄然離去。不得而知��,但一切皆有可能����。
?
? ?
再往前看,1月10日到18日���,先后有四次登錄記錄�����,地址來(lái)源各不相同��,185.112.82.230���、185.112.82.235、41.231.5.34和188.166.171.252��,分別來(lái)自俄羅斯�、俄羅斯��、突尼斯和荷蘭����。
? ? 源地址的多樣化��,似乎表明黑客們可以隨意出入這臺(tái)云服務(wù)器����。是什么原因吸引黑客們蜂擁而至呢���?為什么是jira用戶(hù)��,而不是別的用戶(hù)呢�����?
? ? ?答案是端口掃描�,并通過(guò)掃描獲知公開(kāi)信息�����,進(jìn)而攻擊服務(wù)器漏洞�����。
?
4.7 解讀黑客術(shù)
? ?
黑客程序掃描公網(wǎng)IP地址或者掃描域名的HTTP端口(80端口、8080端口)�����,分析返回的HTML文本�����,經(jīng)過(guò)過(guò)濾���、提取候選詞�,再與詞庫(kù)中的關(guān)鍵字對(duì)比�。如果關(guān)鍵詞匹配,從關(guān)鍵詞關(guān)聯(lián)的應(yīng)用庫(kù)提取對(duì)應(yīng)的應(yīng)用程序�,推斷該地址的HTTP端口提供該應(yīng)用服務(wù)。例如:提取到j(luò)ira關(guān)鍵詞��,推斷該服務(wù)器提供JIRA服務(wù)�;提取到sonarqube關(guān)鍵字,推斷該服務(wù)器提供SonarQube服務(wù)���,等等�����。
?
圖 HTTP服務(wù)的默認(rèn)頁(yè)面暴露了具體服務(wù)
?
圖 HTTP服務(wù)返回的默認(rèn)響應(yīng)暴露了具體服務(wù)
?
? ?
這些通用公共應(yīng)用的安裝指南����,大多數(shù)會(huì)提示用戶(hù)新建同名的操作系統(tǒng)賬戶(hù),例如jira�����、mysql和redis等����,以此用戶(hù)來(lái)安裝公共應(yīng)用�����。一些粗心的管理員�����,會(huì)給系統(tǒng)賬戶(hù)設(shè)置簡(jiǎn)單密碼�����。這正是這一類(lèi)黑客程序攻擊能得逞的關(guān)鍵原因之一。
? ? 互聯(lián)網(wǎng)上IP地址浩如煙海��,為什么偏偏是這臺(tái)云服務(wù)器呢���?
? ? 比較笨的辦法是按地址段逐個(gè)IP掃描���,發(fā)現(xiàn)IP地址上有開(kāi)放的端口,再實(shí)施攻擊�、破解,攻破端口后�����,取得系統(tǒng)權(quán)限��,植入木馬程序��。
? ?
一個(gè)國(guó)家所分配的IP地址號(hào)段是固定不變�,除非有新增的IP地址號(hào)段。國(guó)家IP管理機(jī)構(gòu)再給其國(guó)內(nèi)的云服務(wù)提供商分配IP地址號(hào)段��,這也是固定的��,甚至可以公開(kāi)查詢(xún)?nèi)我庖粋€(gè)云服務(wù)商的IP地址號(hào)段�。同一個(gè)云服務(wù)提供商的云安全基礎(chǔ)設(shè)施是共用的���,有相同的護(hù)盾,也有相同的漏洞��,只要在一臺(tái)云服務(wù)器上發(fā)現(xiàn)了漏洞�����,很可能其他云服務(wù)器也有類(lèi)似的漏洞����。
? ?
向云服務(wù)提供商租用虛擬服務(wù)器的內(nèi)容提供商,由于安全管理制度�����、安全基礎(chǔ)軟件和安全管理團(tuán)隊(duì)的共性�,其管理的云服務(wù)器集群也就有了相似的安全性和相似的漏洞�。舉一反三,照貓畫(huà)虎����,攻擊者攻陷一臺(tái)云服務(wù)器后,很容易擴(kuò)大戰(zhàn)果攻擊更多云服務(wù)器����。
? ? 前文說(shuō)到�,黑客植入的木馬程序是“挖礦”程序�����。在下一集將對(duì)這個(gè)“挖礦”程序動(dòng)手術(shù)���,肢解程序?yàn)閹状髩K����,分析它內(nèi)部運(yùn)行機(jī)制��,對(duì)外通信聯(lián)絡(luò)模式等等���。
?
? ??本文是作者原創(chuàng)作品��,原文發(fā)表在公眾號(hào)? 云服務(wù)器反黑客入侵攻防實(shí)錄(二)
<https://mp.weixin.qq.com/s/CBakZJ-ROMt2MzkJg3k1Iw>?
?
