V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nerocho
V2EX  ›  信息安全

公司系统被攻击

  •  
  •   nerocho · 16 天前 · 5732 次点击

    背景

    最近公司 web 应用系统(部署在 aliyun )被攻击。索性以前做过等保也或许是因为发现的及时,ban 了对方 ip ,所以没出啥事儿。但事后复盘还是有点不爽,想问问诸位大佬,在安全、风控之类的事情上是怎么做的。

    疑问

    • 我该如何通过已有的对方 ip 知道对方是什么样的公司 or 人(目前 aliyun 已经反馈那一批 ip 都是一个公司的,但涉及隐私,无法告知公司名称)。结合一些对方渗透的手段,我们怀疑可能跟公司内部信息泄露(比如离职员工)有关,所以比较好奇对方的信息。不过这个好像涉及黑产了,应该正常渠道是获取不到的,如果有门路的老哥,可以提点下老弟。

    • 大家有用到哪些封控产品或者阅读过哪些和风控 or 监控 or 安全相关的文章,欢迎分享。

      • 我知道的 aliyun 有 WAF (应用防火墙),不过在上述事情上面,waf 没有发挥任何作用。。。
      • 还有一些比如类似代理的产品(就是流量会经过它,它会对 ip 进行甄别),好像也都没啥用,感觉还是得有一套针对用户行为分析的东西。
    第 1 条附言  ·  15 天前

    Q&A

    1. @whileFalse 絮絮叨叨这么多也没说是什么攻击

    我的,我特意写了 web 服务,想省事少码几个字,看来还是想多了。攻击基本都有覆盖,我说几个他们量比较大的:密码暴力破解(有些管理系统没有用动态口令登录)、路径遍历、注入(脚本和 sql)、还有一些软件的低版本漏洞

    第 2 条附言  ·  15 天前
    1. @billzhuang 可以让阿里云看看,WAF 为什么没有拦截这些请求。

    这个我没说清楚,就是比如一些常见的规则,waf 是可以的,这里我举个例子,假设某个网站为了防止爬虫,它有个简单规则比如 qps <1000 /s,如果大于就屏蔽 ip or 用户一段时间。这是我是攻击者,我按照 100qps 进行爬虫,我就是正常的用户。我表达的是,waf 是通配的基础规则,针对每家公司特殊的要求好像还是得自己设计。

    第 3 条附言  ·  15 天前
    安全攻击类型分布

    其他 29.59%
    代码执行 21.01%
    本地文件包含 20.46%
    SOL 注入 17.03%
    webshell 11.83%
    跨站脚本 0.08%
    第 4 条附言  ·  15 天前
    我在描述的时候其实把两个问题混着说了,就是我们部分应用是不在 waf 的保护范围内的,而这些应用被对方扫描到了,然后发起攻击,服务器打过来了好多流量,带宽翻了几番。
    所以解决办法很简单,要不要把这些应用也加到 waf 里面。
    然后业务上的一些规则,还是得看自己业务需求然后定制风控逻辑,然后这一点想问问大家有啥推荐的工具算法啥的,比如策略引擎之类的。

    感谢大家回复
    第 5 条附言  ·  15 天前
    此贴完结:

    今天得知是客户请了专业公司在搞攻防演练,因为我们部分服务嵌入在对方应用,所以人家攻防演练时把我们也捎带了,那几个 ip 是那个公司的 ip 。。。
    39 条回复    2024-05-16 13:19:50 +08:00
    billzhuang
        1
    billzhuang  
       16 天前 via iPhone
    可以让阿里云看看,WAF 为什么没有拦截这些请求。
    whileFalse
        2
    whileFalse  
       16 天前 via Android   ❤️ 2
    絮絮叨叨这么多也没说是什么攻击
    lxh1983
        3
    lxh1983  
       15 天前 via iPhone
    公司是自己的吗?是的话也可以去找黑产搞回去。不是的话,那是老板给你的工作量不够,看你闲的
    boseqc35
        4
    boseqc35  
       15 天前
    waf 是可以 bypass 的,建议找白帽给你们做一波渗透,该补补,该修修
    nerocho
        5
    nerocho  
    OP
       15 天前
    @lxh1983 公司是老板的,我也没有拿分红。我只是单纯好奇大佬都是怎么做的
    nerocho
        6
    nerocho  
    OP
       15 天前
    @boseqc35 感觉外面公司做的效果强度,完全没法跟最近经历的这个团队相比较,我们每年都有很多次渗透,比如安恒、三叶草等。。。
    boseqc35
        7
    boseqc35  
       15 天前
    @nerocho 那怎么还一堆遍历、注入
    nerocho
        8
    nerocho  
    OP
       15 天前
    @boseqc35 #7 这个是我们的问题,因为 waf 域名愈多得加愈多的钱,有些边缘系统是没有 waf 的 buff 加成的。
    xguanren
        9
    xguanren  
       15 天前
    你要知道他做了什么 才能去做防护手段呀.先打好日志.做好蜜罐,看看对方究竟是使用了什么手段吧.因为你没有说对方究竟是干了什么.是爬取信息了还是入侵 攻击你们了.还是 ddos cc 你们了..对方不出拳.你去猜测对方使用了什么功法.你怎么知道呢...无非就是前期上一些通用规则呗.就好像你说的 aliyun 的 waf 经过很多年发展.内置了一套模型去甄别.但是具体还是要看你们公司遭遇了什么
    CloudMx
        10
    CloudMx  
       15 天前
    感觉就是扫描器在扫你们...
    aqqwiyth
        11
    aqqwiyth  
       15 天前
    访问日志 包括 IP 时间记录一下 , 有时候会有叔叔上门问你.

    ( 一年公司一个业务前因为被攻击, 然后去年底叔叔说抓到一个团伙发现有你们被攻击的痕迹 是否可以提供证据, 损失 可以追偿)
    nerocho
        12
    nerocho  
    OP
       15 天前
    嗯,记录都有的。
    izoabr
        13
    izoabr  
       15 天前
    可以报警吧
    nerocho
        14
    nerocho  
    OP
       15 天前
    @izoabr 明天去了和同事聊聊,可以报一个。
    morenacl
        15
    morenacl  
       15 天前
    除非特别有针对性的编写 WAF 的策略,否则就当没有 WAF
    whileFalse
        16
    whileFalse  
       15 天前 via Android
    我对 aws waf 比较熟,aws 中暴力破解可以用访问频率限制防住,注入可以用标准的反注入规则防,路径遍历和漏洞基本就不归 waf 管了,但可以通过 ip 白名单等其他方式提高安全性。能防住的这些也要根据你的业务去针对性的设置并根据 waf 日志不断调整,安全层面的东西不是一蹴而就的,你面对的攻击者是活人。
    lovegoogle
        17
    lovegoogle  
       15 天前
    @lxh1983 你这个回答几乎可以用在任何一个回答上,就和废话一样...
    x86
        18
    x86  
       15 天前
    ddos 打回去
    Arumoh
        19
    Arumoh  
       15 天前
    我觉得就是普通扫描器扫描吧,这个很常见,对方攻击没必要暴露公司 ip 吧,至少用个跳板,那堆攻击 ip 说不定是肉鸡
    dododada
        20
    dododada  
       15 天前
    如果确认是被攻击了,直接报警就行了,网安会处理的;
    但是攻击源只有一个?这个就太奇怪了
    如果是流量攻击,可以上按需上高防,不过腾讯的高防真的很贵
    hnliuzesen
        21
    hnliuzesen  
       15 天前
    昨天看到 B 站上有人推荐 雷池 WAF 的,社区版开源免费,看介绍感觉挺厉害的,可以试试
    cnevil
        22
    cnevil  
       15 天前
    从你这看 只是常规公网的一个扫描 你很难找到对应的人
    没有造成损失的话警察应该也不会搭理你
    nerocho
        23
    nerocho  
    OP
       15 天前
    @hnliuzesen 谢谢,我去瞅瞅
    W4J1e
        24
    W4J1e  
       15 天前
    看到结尾绷不住了,哈哈哈哈哈哈哈哈
    null2error
        25
    null2error  
       15 天前
    能不能对结尾单独点赞?
    niucang
        26
    niucang  
       15 天前
    有始有终,挺好
    motorw
        27
    motorw  
       15 天前
    看到最后真绷不住
    tangmanger
        28
    tangmanger  
       15 天前
    创建个蜜罐 让他进来
    Motorola3
        29
    Motorola3  
       15 天前
    讲道理 如果看到是同一个 ip 的攻击一般不会是正常黑客攻击 ,web 攻防渗透第一课,隐藏自己
    cat1879
        30
    cat1879  
       15 天前
    哎,打补丁,加认证。多加一层。没办法
    zzzlight
        31
    zzzlight  
       15 天前
    笑死,直接看到最后一个补充,乐了。
    dododada
        32
    dododada  
       15 天前
    最后这个攻防演练,严格来讲,签合同的时候要写清楚各种服务授权,如果你们没有授权对方对你们的接口做攻防演练这种操作,对方是不能做的
    billwang
        33
    billwang  
       15 天前
    等保,攻防演练,一看就是企事业单位了。
    gscsnm
        34
    gscsnm  
       15 天前
    现在每年都有大型演练。

    客户自己先自行查,很正常。
    zhanghk668
        35
    zhanghk668  
       15 天前
    這明顯是掃描的樣子呀
    porrt8
        36
    porrt8  
       14 天前
    还没来得及学到什么,这贴就结束了 xs
    dfdd1811
        37
    dfdd1811  
       14 天前
    哈哈,一般这种大范围的,攻击方面很全,而且精准攻击所有机器的,可能都是在演练,要么就是安全部门自己做的。外面的扫描一般一两种扫描,而且也就扫到一个两个机器,不会大面积的
    nerocho
        38
    nerocho  
    OP
       14 天前
    @dododada #32 是的,但我们是供应商,人家甲方没办法。
    nerocho
        39
    nerocho  
    OP
       14 天前
    @billwang 对的,某银行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2925 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:32 · PVG 20:32 · LAX 05:32 · JFK 08:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.