V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nerocho
V2EX  ›  信息安全

公司系统被攻击

  •  
  •   nerocho · 7 天前 · 5575 次点击

    背景

    最近公司 web 应用系统(部署在 aliyun )被攻击。索性以前做过等保也或许是因为发现的及时,ban 了对方 ip ,所以没出啥事儿。但事后复盘还是有点不爽,想问问诸位大佬,在安全、风控之类的事情上是怎么做的。

    疑问

    • 我该如何通过已有的对方 ip 知道对方是什么样的公司 or 人(目前 aliyun 已经反馈那一批 ip 都是一个公司的,但涉及隐私,无法告知公司名称)。结合一些对方渗透的手段,我们怀疑可能跟公司内部信息泄露(比如离职员工)有关,所以比较好奇对方的信息。不过这个好像涉及黑产了,应该正常渠道是获取不到的,如果有门路的老哥,可以提点下老弟。

    • 大家有用到哪些封控产品或者阅读过哪些和风控 or 监控 or 安全相关的文章,欢迎分享。

      • 我知道的 aliyun 有 WAF (应用防火墙),不过在上述事情上面,waf 没有发挥任何作用。。。
      • 还有一些比如类似代理的产品(就是流量会经过它,它会对 ip 进行甄别),好像也都没啥用,感觉还是得有一套针对用户行为分析的东西。
    第 1 条附言  ·  7 天前

    Q&A

    1. @whileFalse 絮絮叨叨这么多也没说是什么攻击

    我的,我特意写了 web 服务,想省事少码几个字,看来还是想多了。攻击基本都有覆盖,我说几个他们量比较大的:密码暴力破解(有些管理系统没有用动态口令登录)、路径遍历、注入(脚本和 sql)、还有一些软件的低版本漏洞

    第 2 条附言  ·  7 天前
    1. @billzhuang 可以让阿里云看看,WAF 为什么没有拦截这些请求。

    这个我没说清楚,就是比如一些常见的规则,waf 是可以的,这里我举个例子,假设某个网站为了防止爬虫,它有个简单规则比如 qps <1000 /s,如果大于就屏蔽 ip or 用户一段时间。这是我是攻击者,我按照 100qps 进行爬虫,我就是正常的用户。我表达的是,waf 是通配的基础规则,针对每家公司特殊的要求好像还是得自己设计。

    第 3 条附言  ·  7 天前
    安全攻击类型分布

    其他 29.59%
    代码执行 21.01%
    本地文件包含 20.46%
    SOL 注入 17.03%
    webshell 11.83%
    跨站脚本 0.08%
    第 4 条附言  ·  7 天前
    我在描述的时候其实把两个问题混着说了,就是我们部分应用是不在 waf 的保护范围内的,而这些应用被对方扫描到了,然后发起攻击,服务器打过来了好多流量,带宽翻了几番。
    所以解决办法很简单,要不要把这些应用也加到 waf 里面。
    然后业务上的一些规则,还是得看自己业务需求然后定制风控逻辑,然后这一点想问问大家有啥推荐的工具算法啥的,比如策略引擎之类的。

    感谢大家回复
    第 5 条附言  ·  6 天前
    此贴完结:

    今天得知是客户请了专业公司在搞攻防演练,因为我们部分服务嵌入在对方应用,所以人家攻防演练时把我们也捎带了,那几个 ip 是那个公司的 ip 。。。
    39 条回复    2024-05-16 13:19:50 +08:00
    billzhuang
        1
    billzhuang  
       7 天前 via iPhone
    可以让阿里云看看,WAF 为什么没有拦截这些请求。
    whileFalse
        2
    whileFalse  
       7 天前 via Android   ❤️ 2
    絮絮叨叨这么多也没说是什么攻击
    lxh1983
        3
    lxh1983  
       7 天前 via iPhone
    公司是自己的吗?是的话也可以去找黑产搞回去。不是的话,那是老板给你的工作量不够,看你闲的
    boseqc35
        4
    boseqc35  
       7 天前
    waf 是可以 bypass 的,建议找白帽给你们做一波渗透,该补补,该修修
    nerocho
        5
    nerocho  
    OP
       7 天前
    @lxh1983 公司是老板的,我也没有拿分红。我只是单纯好奇大佬都是怎么做的
    nerocho
        6
    nerocho  
    OP
       7 天前
    @boseqc35 感觉外面公司做的效果强度,完全没法跟最近经历的这个团队相比较,我们每年都有很多次渗透,比如安恒、三叶草等。。。
    boseqc35
        7
    boseqc35  
       7 天前
    @nerocho 那怎么还一堆遍历、注入
    nerocho
        8
    nerocho  
    OP
       7 天前
    @boseqc35 #7 这个是我们的问题,因为 waf 域名愈多得加愈多的钱,有些边缘系统是没有 waf 的 buff 加成的。
    xguanren
        9
    xguanren  
       7 天前
    你要知道他做了什么 才能去做防护手段呀.先打好日志.做好蜜罐,看看对方究竟是使用了什么手段吧.因为你没有说对方究竟是干了什么.是爬取信息了还是入侵 攻击你们了.还是 ddos cc 你们了..对方不出拳.你去猜测对方使用了什么功法.你怎么知道呢...无非就是前期上一些通用规则呗.就好像你说的 aliyun 的 waf 经过很多年发展.内置了一套模型去甄别.但是具体还是要看你们公司遭遇了什么
    CloudMx
        10
    CloudMx  
       7 天前
    感觉就是扫描器在扫你们...
    aqqwiyth
        11
    aqqwiyth  
       7 天前
    访问日志 包括 IP 时间记录一下 , 有时候会有叔叔上门问你.

    ( 一年公司一个业务前因为被攻击, 然后去年底叔叔说抓到一个团伙发现有你们被攻击的痕迹 是否可以提供证据, 损失 可以追偿)
    nerocho
        12
    nerocho  
    OP
       7 天前
    嗯,记录都有的。
    izoabr
        13
    izoabr  
       7 天前
    可以报警吧
    nerocho
        14
    nerocho  
    OP
       7 天前
    @izoabr 明天去了和同事聊聊,可以报一个。
    morenacl
        15
    morenacl  
       7 天前
    除非特别有针对性的编写 WAF 的策略,否则就当没有 WAF
    whileFalse
        16
    whileFalse  
       7 天前 via Android
    我对 aws waf 比较熟,aws 中暴力破解可以用访问频率限制防住,注入可以用标准的反注入规则防,路径遍历和漏洞基本就不归 waf 管了,但可以通过 ip 白名单等其他方式提高安全性。能防住的这些也要根据你的业务去针对性的设置并根据 waf 日志不断调整,安全层面的东西不是一蹴而就的,你面对的攻击者是活人。
    lovegoogle
        17
    lovegoogle  
       6 天前
    @lxh1983 你这个回答几乎可以用在任何一个回答上,就和废话一样...
    x86
        18
    x86  
       6 天前
    ddos 打回去
    Arumoh
        19
    Arumoh  
       6 天前
    我觉得就是普通扫描器扫描吧,这个很常见,对方攻击没必要暴露公司 ip 吧,至少用个跳板,那堆攻击 ip 说不定是肉鸡
    dododada
        20
    dododada  
       6 天前
    如果确认是被攻击了,直接报警就行了,网安会处理的;
    但是攻击源只有一个?这个就太奇怪了
    如果是流量攻击,可以上按需上高防,不过腾讯的高防真的很贵
    hnliuzesen
        21
    hnliuzesen  
       6 天前
    昨天看到 B 站上有人推荐 雷池 WAF 的,社区版开源免费,看介绍感觉挺厉害的,可以试试
    cnevil
        22
    cnevil  
       6 天前
    从你这看 只是常规公网的一个扫描 你很难找到对应的人
    没有造成损失的话警察应该也不会搭理你
    nerocho
        23
    nerocho  
    OP
       6 天前
    @hnliuzesen 谢谢,我去瞅瞅
    W4J1e
        24
    W4J1e  
       6 天前
    看到结尾绷不住了,哈哈哈哈哈哈哈哈
    null2error
        25
    null2error  
       6 天前
    能不能对结尾单独点赞?
    niucang
        26
    niucang  
       6 天前
    有始有终,挺好
    motorw
        27
    motorw  
       6 天前
    看到最后真绷不住
    tangmanger
        28
    tangmanger  
       6 天前
    创建个蜜罐 让他进来
    Motorola3
        29
    Motorola3  
       6 天前
    讲道理 如果看到是同一个 ip 的攻击一般不会是正常黑客攻击 ,web 攻防渗透第一课,隐藏自己
    cat1879
        30
    cat1879  
       6 天前
    哎,打补丁,加认证。多加一层。没办法
    zzzlight
        31
    zzzlight  
       6 天前
    笑死,直接看到最后一个补充,乐了。
    dododada
        32
    dododada  
       6 天前
    最后这个攻防演练,严格来讲,签合同的时候要写清楚各种服务授权,如果你们没有授权对方对你们的接口做攻防演练这种操作,对方是不能做的
    billwang
        33
    billwang  
       6 天前
    等保,攻防演练,一看就是企事业单位了。
    gscsnm
        34
    gscsnm  
       6 天前
    现在每年都有大型演练。

    客户自己先自行查,很正常。
    zhanghk668
        35
    zhanghk668  
       6 天前
    這明顯是掃描的樣子呀
    porrt8
        36
    porrt8  
       6 天前
    还没来得及学到什么,这贴就结束了 xs
    dfdd1811
        37
    dfdd1811  
       5 天前
    哈哈,一般这种大范围的,攻击方面很全,而且精准攻击所有机器的,可能都是在演练,要么就是安全部门自己做的。外面的扫描一般一两种扫描,而且也就扫到一个两个机器,不会大面积的
    nerocho
        38
    nerocho  
    OP
       5 天前
    @dododada #32 是的,但我们是供应商,人家甲方没办法。
    nerocho
        39
    nerocho  
    OP
       5 天前
    @billwang 对的,某银行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1707 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:49 · PVG 00:49 · LAX 09:49 · JFK 12:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.