忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
12
最近访问板块 发新帖
楼主: Fl_wolf

【大话IT】你的业务安全吗?你的机器安全吗?(服务器安全与网络安全的开放性讨论) [复制链接]

论坛徽章:
1
荣誉版主
日期:2011-11-23 16:44:17
发表于 2017-02-13 15:40 |显示全部楼层
被东突黑过。。。

论坛徽章:
0
发表于 2017-02-14 11:09 |显示全部楼层
境外的赌博网站黑过,主要是没有注意nginx的限制顺序,被注入攻击了。

论坛徽章:
5
技术图书徽章
日期:2013-08-27 10:03:49CU大牛徽章
日期:2013-09-18 15:16:55CU大牛徽章
日期:2013-09-18 15:18:22CU大牛徽章
日期:2013-09-18 15:18:43技术图书徽章
日期:2014-04-24 15:51:26
发表于 2017-02-16 17:04 |显示全部楼层
本帖最后由 Purple_Grape 于 2017-02-17 08:58 编辑

1.你所写的代码或者服务器遇到过被黑的情况吗?如果有叙述下解决方案。
遇到过,主要是低级错误,1、网工把ssh端口给映射出去了,密码超级简单 2、tomcat用root运行,一个漏洞让系统失守

2.你的代码与服务器是否有对防黑进行监控,或者有什么安全措施?是如何实现的?
第一、防火墙日志监控
第二、应用防火墙waf+日志分析
第三、web一般通过反向代理出去,自己无法上网

3.除了外患,也许还有内忧,如离职人员的代码后门检测,运维人员的服务器后门检测,是否有快速的方法?
主要以内网运维,配合服务器操作记录审计。安全教育为主,善待离职人员,




4.你对未来的安全提出一些友好的方案。
安全是一种习惯和自觉,安全问题也不完全是能力问题,多数安全问题往往不是疏忽就是缺乏责任感导致。通过培训可解决多数安全问题。可以是技术培训和企业文化培训,提高安全能力,增强安全意识和责任感。


评分

参与人数 1信誉积分 +9 收起 理由
Fl_wolf + 9 赞一个!

查看全部评分

论坛徽章:
0
发表于 2017-02-17 20:04 |显示全部楼层
1.你所写的代码或者服务器遇到过被黑的情况吗?如果有叙述下解决方案。(1)前段时间网站多次被DDOS攻击,前端已经配置安全网关,但是然并卵,攻击直接干瘫了WAF,导致后台3台web服务器流量巨大网页直接无法访问。
(2)为客户搭建了一套虚拟机系统环境,由于开发人员在外地,客户也为了省事,让我直接给做NAT然后开外网ssh说着急,没办法我照做了(CentOS6.5自带的Openssh是有漏洞的,当时我还没来得及升级),这开了的结果是直接导致此台虚拟机成为了肉鸡,悲催啊!
解决方法:
(1)3台web服务器只是遭受了DDOS攻击,并没有中毒,连夜找来原厂工程师进行调试,对DDOS设备参数进行了详细设置,过了大概4个小时之后,DDOS攻击得到了限制(说白了就是前期DDOS设备可能都没有进行合理的配置)。
(2)肉鸡没办法,直接环境重做。
2.你的代码与服务器是否有对防黑进行监控,或者有什么安全措施?是如何实现的?
被DDOS攻击之后,迫于客户的压力,我们又给上了APT、日志审计、防毒墙等设备,然后对所有防火墙策略(上百条啊)全部进行了梳理,其中感觉有危险的服务器环境全部重做(消耗巨大啊),经过一系列的折腾之后,到现在一直稳定运行。
3.除了外患,也许还有内忧,如离职人员的代码后门检测,运维人员的服务器后门检测,是否有快速的方法?

说实话这个难度实在太大了,俗话说得好,日防夜防家贼难防啊。离职人员必须尽快清理相关权限,运维人员尽量尽早使用堡垒机,别的我是想不住啥好办法了,因为开发和运维人员可以说是业务运行的基础,真要乱搞要防太难了。
4.你对未来的安全提出一些友好的方案。

(1)首先,项目开始实施的时候,严格按照国家等保要求进行实施(说实话很难啊,客户根本没理解,大多数都会认为是浪费时间)。
(2)然后,在业务正式上线之前,必须严格梳理前段网络安全设备配置是否有效,可以做一些攻击测试。
(3)最后,业务上线之后尽快启用堡垒机,如果外界需要连接后台还需要上线硬件VPN设备。

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2017-02-18 17:38 |显示全部楼层
1.你所写的代码或者服务器遇到过被黑的情况吗?如果有叙述下解决方案。

  常在河边走,哪不能湿鞋?大多数人应该都遇到过。我遇到典型的两次,一次是在网站上写了个测试的脚本,文件名没起好,被黑客猜出来了,泄露了一些信息;另一次是shell漏洞那次,服务器被挂了马,一个劲向香港的某个机器发数据。前一种情况纯属人为失误造成的,这个只能平时多小心;后一种没有好的解决方案,只能平时多留意安全网站,还要加强服务器的监控,出现异常抓紧查原因被漏洞,我的服务器ssh心脏出血的那次漏洞处理的很及时,还没被挂马。
 
2.你的代码与服务器是否有对防黑进行监控,或者有什么安全措施?是如何实现的?

服务器肯定要有监控的,硬件的防火墙先不说,大点的公司都会有,并且供应商也就那几家,没有太多可挑选的余地。单说自己做的监控,我觉得有几个层次:
 一、系统级监控,包括用户登录、系统中的关键进程、网卡流量、系统load、内存占用等,这几个我现在自己写的脚本,定时发送到监控服务器(可用snmp,syslog等),用户登录记录了用户名和IP,如果不是常用IP则发消息报警;进程监控主要监控进程数量和pid号;网卡流量也是必须监控的,包括发包数和字节数,超出正常值后也要报警;系统的中断数监控一下,对于排除问题也是有帮助的;可能的情况还有硬盘的IO数据等。
  这个步骤很多时候只是记录在本机,其安全性会下降一个层次,因为如果被黑客非法登录,搞掉监控的程序和日志那是必须的。
 二、服务器程序监控,比如apache和nginx的监控,简单一点,只监控它的日志,特别要监控post。我曾接手了一个dedecms的网站,被黑了N次,最后没办法开始监控日志,配合防火墙,现在已坚持了三年没大问题了,具体做法:每分钟分析一次日志,(1)后台登录页和发帖页,这几个页全部是post,这部分作为白名单,简单过滤一下post的内容即可,有其他页面的POST的IP一律拉入黑名单;(2)过滤GET的参数,发现特殊字符,则将其IP拉入黑名单;(3)统计非202、302、301的页面,特别是404的页面,如果某个IP次数过多,直接拉黑名单中;(4)首页的返回字节数,一旦发现超长或超短,则报警。

 三、文件的监控,包括源代码和可执行程序,用脚本定期将几个关键的程序,比如nginx、mysqld、.php文件等做个md5或sha1,再顺便在/etc、/sbin、/usr/sbin、/lib目录下find -newer一下,找一下最近更新的文件,将信息发至监控服务器。

 四、日志更位置,不要一直放在/var/log中。虽然这个措施防不了高手并且仅仅是事后诸葛亮,但是防初级黑客和小屁孩练手还是很有用的。

3.除了外患,也许还有内忧,如离职人员的代码后门检测,运维人员的服务器后门检测,是否有快速的方法?
  没有这方面的经验。


4.你对未来的安全提出一些友好的方案。
一、不要将安全完全交给硬件的防火墙,硬件防火墙只能根据已有的特殊库来进行操作,会受到很多限制,最好根据自己的应用来制定合适的防御策略。
二、注重移动安全,大多数时候,APP相比WEB来说,可以更直接地操作服务器资源,这在方便的同时也增加了出问题的几率。比如APP一旦被反解,很可能会暴露出关键的信息,本人曾反解过一个劣质的APP,竟然找到了数据库的连接密码,由此可见一斑,并且国内很多APP都是可以被反解/反编译的。
  另外写APP时必须重视通讯的加密和防劫持,毕竟很多人都很随意地连接wifi热点,酒店和饭馆的热点不一定安全。

评分

参与人数 1信誉积分 +10 收起 理由
Fl_wolf + 10 很给力!

查看全部评分

论坛徽章:
18
卯兔
日期:2013-09-27 17:41:0615-16赛季CBA联赛之佛山
日期:2016-07-09 17:34:45操作系统版块每周发帖之星
日期:2015-12-02 15:01:04IT运维版块每日发帖之星
日期:2015-12-02 06:20:00IT运维版块每日发帖之星
日期:2015-10-07 06:20:00IT运维版块每日发帖之星
日期:2015-10-03 06:20:00IT运维版块每日发帖之星
日期:2015-10-01 06:20:00羊年新春福章
日期:2015-04-01 17:56:06拜羊年徽章
日期:2015-04-01 17:56:062015年迎新春徽章
日期:2015-03-04 09:49:452015年辞旧岁徽章
日期:2015-03-03 16:54:15天秤座
日期:2015-01-14 06:39:28
发表于 2017-02-22 19:25 |显示全部楼层
lsstarboy 发表于 2017-02-18 17:38
1.你所写的代码或者服务器遇到过被黑的情况吗?如果有叙述下解决方案。

  常在河边走,哪不能湿鞋? ...

赞一个,写的够详细

论坛徽章:
276
CU大牛徽章
日期:2013-04-17 10:59:39CU大牛徽章
日期:2013-04-17 11:01:45CU大牛徽章
日期:2013-04-17 11:02:15CU大牛徽章
日期:2013-04-17 11:02:36CU大牛徽章
日期:2013-04-17 11:02:58CU大牛徽章
日期:2013-05-20 10:44:54CU大牛徽章
日期:2013-05-20 10:45:13CU大牛徽章
日期:2013-05-20 10:45:24CU大牛徽章
日期:2013-05-20 10:45:31金牛座
日期:2013-09-06 22:11:28巨蟹座
日期:2013-09-06 23:01:04射手座
日期:2013-09-06 23:01:45
发表于 2017-02-23 15:18 |显示全部楼层
精彩回复
精彩回复
精彩回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP