几天前我们的一个制造业的客户突然给我打了一个电话,说是他们的服务器被入侵了,具体的现象是他们的一个OA软件的实施顾问正在运维部署一台Windows服务器的过程中突然被人“挤掉”了,然后阿里云的云安全中心控制台告诉他服务器在非常用地点被人登录了。
接到求援电话后我立即调阅分析了云防火墙、云WAF、云安全中心的相关事件日志,确实有两个在非常用地登录的预警,但云WAF和云防火墙中没有比较明显的被入侵的痕迹,在这种情况下我立即建议客户更换一下Windows服务器的管理员口令,并和OA的实施方去确认是否有其他同事登录过这台服务器,结果反馈的信息是否定的,OA实施方并没有其他同事登录过服务器。
得到这个信息后我又去仔细的检查了一下云防火墙、云WAF、云安全中心的日志,还是没有看出明显的被攻破的痕迹,假如通过应用和操作系统的漏洞进入了服务器肯定是会留下痕迹的,尤其是在云防火墙的主动外联流量里或多或少都会留下蛛丝马迹,但这次确实没有。
难道真的是被人暴力破解了口令?应该也不会,因为云安全中心拥有防暴力破解策略,强行猜测口令出错达到一定次数后会被自动屏蔽。
现在的情况就相当于家里的门锁被人直接拿钥匙打开了,完全没有敲砸的痕迹。
难道是钥匙丢了?依据奥卡姆剃刀定理,我倾向于这种假设。
奥卡姆剃刀定理的应用:如果对于同一现象有两种或多种不同的假说,我们应该采取比较简单或可证伪的那一种。
那到底是谁登录了服务器呢?又是谁泄露了登录口令呢?时间将告诉我们答案。果不其然,过了一会儿客户给我打来了电话,告诉我案件终于侦破了。原来是OA实施方的人员将管理员口令告诉了ERP的实施顾问,ERP的实施顾问登录了OA服务器,因为管理员口令已经被修改了所以ERP的实施顾问登录不了了去询问这才水落石出。
之所以OA服务器的密码会告诉ERP的实施顾问是因为这一段时间客户的信息化系统正在进行升级改造,需要ERP、OA进行集成整合,因此在很多时候为了简单直接的完成工作,实施方的顾问们会倾向于采用这种方式进行协作。其实这种情况在很多客户那里都存在,在事后追溯过程中也不容易定位到底是谁登录了服务器,谁又做了什么操作,假如出现了数据丢失或其他损失,相互的推诿扯皮估计是免不的。
上个堡垒机,问题将迎刃而解。我们可以在堡垒机上为每个实施顾问单独创建个人账号,顾问们能够登录哪些服务器可以随时进行授权,实施顾问们通过自己的个人账号登录堡垒机再转到服务器上进行实施和运维过程操作,在此过程中的所有操作将被堡垒机完整记录以便于事后追溯。假如不希望顾问继续访问这台服务器了,修改或删除策略即可让这个顾问无法访问对应的服务器,在此过程中实施顾问始终不知道服务器的管理员用户名口令。
假如您也遇到了类似的情况,赶紧上个堡垒机。
