V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
holinhot
V2EX  ›  云计算

阿里云后门为何如此恶心

  •  
  •   holinhot · 2020-06-24 20:06:22 +08:00 · 11594 次点击
    这是一个创建于 1373 天前的主题,其中的信息可能已经有所发展或是发生改变。

    上传的自定义镜像( https://cloud.centos.org/centos/7/images/CentOS-7-x86_64-GenericCloud.raw.tar.gz)

    但开机后任然有一个 aliyun-se 进程,真是日了狗了。自定义的也给加个后门。

    88 条回复    2020-06-27 15:45:07 +08:00
    holinhot
        1
    holinhot  
    OP
       2020-06-24 20:08:05 +08:00
    aliyun-se 2331 root 4u IPv4 35145 0t0 TCP 172.18.13.206:42750->100.100.0.70:80 (ESTABLISHED)
    dandycheung
        2
    dandycheung  
       2020-06-24 20:09:56 +08:00 via iPhone
    应该是它的安全模块,忍忍吧。
    kokutou
        3
    kokutou  
       2020-06-24 20:11:27 +08:00
    阿里云的安全模块还是有点用的。。。
    XanderChen
        4
    XanderChen  
       2020-06-24 20:16:25 +08:00
    写个脚本,定时关闭(手动狗头
    singerll
        5
    singerll  
       2020-06-24 20:26:32 +08:00 via Android
    这算啥后门。。。阿里云真想
    singerll
        6
    singerll  
       2020-06-24 20:27:18 +08:00 via Android
    @singerll 手抖了,阿里云真想抓你包,可以直接上分光器。
    inwar
        7
    inwar  
       2020-06-24 20:27:42 +08:00
    不要用 cloud 镜像
    opengps
        8
    opengps  
       2020-06-24 20:29:12 +08:00 via Android
    把这个叫做后门,,那么真偷数据的你怎么称呼
    inwar
        9
    inwar  
       2020-06-24 20:30:44 +08:00
    @singerll 这就是后门,入侵用户系统了。真想,也可以拿服务器上数据出去买,但这是可以忍耐的吗
    Foxkeh
        10
    Foxkeh  
       2020-06-24 20:32:04 +08:00
    @opengps 备份
    ifxo
        11
    ifxo  
       2020-06-24 20:33:11 +08:00
    监控你的一举一动啊,结束进程试试
    marcushbs
        12
    marcushbs  
       2020-06-24 20:34:49 +08:00
    业务层面加密——想当年做的系统,就是连源码带数据拿走,也照样跑不起来——我自己 deploy 都要花一天...
    singerll
        13
    singerll  
       2020-06-24 20:43:23 +08:00 via Android   ❤️ 7
    @inwar 不是这是不是后门的问题,而是如果仅仅是窃取数据,阿里云完全没必要这样恶心用户,网络层直接上分光器,虚拟机直接后台克隆,用户根本不可能察觉。为何非要冒着被逆向抓包的风险,还占用服务器资源跑个代理,典型的自己恶心自己。。。。我更倾向于这个是做安全和管控用的。
    holinhot
        14
    holinhot  
    OP
       2020-06-24 20:49:40 +08:00
    @singerll 抓包无所谓。都是加密的
    holinhot
        15
    holinhot  
    OP
       2020-06-24 20:50:05 +08:00
    @kokutou 对小白新手来说是有用
    pwrliang
        16
    pwrliang  
       2020-06-24 20:51:28 +08:00 via Android
    给他 chmod 000 试试🤔
    holinhot
        17
    holinhot  
    OP
       2020-06-24 20:51:39 +08:00
    @opengps 后门确实存在啊。
    holinhot
        18
    holinhot  
    OP
       2020-06-24 20:56:36 +08:00   ❤️ 1
    @singerll 你放个文件 名称有点像木马 病毒类的就给你警告了。虚拟机直接后台克隆偷数据,真这样做爆出来请问他家还用做业务吗? aliyun-se 扫描你文件,美其名曰帮你更安全啊。为了安全你奉献 一点营私出卖一点数据算个啥。
    inwar
        19
    inwar  
       2020-06-24 20:56:52 +08:00   ❤️ 1
    @singerll 嗯 没错的,这里的角度是是否有入侵行为,和是否有盗取数据行为。入侵行为是坐实的,盗取数据这个是不可判断的。动机论,我可能也认为只是沿用了类似 openstack 的逻辑,在新建虚拟机的时候添加了类似性能监控的组件,他们也没多想。或许跟你爸妈关心你知情或不知情给你车底下按了个实时定位仪一样
    holinhot
        20
    holinhot  
    OP
       2020-06-24 20:58:33 +08:00
    这个和 360 一样的模式,用隐私换杀毒软件。
    opengps
        21
    opengps  
       2020-06-24 21:00:08 +08:00   ❤️ 3
    @holinhot 真后门不是你能看到的,云虽然集群很大,但他本质还是虚拟机,你玩玩虚拟机就明白了,真看起上你那点数据何必这么费劲,人家自己想做个什么工具出来多容易,犯不着抄袭窃取之类的,你的数据真那么重要也不会这么容易做个镜像放在外部环境下。想想银行,前沿的也用了云,但用的是私有云,物理隔离
    holinhot
        22
    holinhot  
    OP
       2020-06-24 21:01:12 +08:00
    @inwar 虚拟机单纯的性能监控目地,其实外部完全可以解决。
    holinhot
        23
    holinhot  
    OP
       2020-06-24 21:07:52 +08:00   ❤️ 3
    @opengps 你是不理解后门吧,后门代表开了一个门,方便人进来,人家想进来随时可以。直于什么时候进来,进来干什么,进来干了什么。这是不可控的。
    inwar
        24
    inwar  
       2020-06-24 21:11:18 +08:00
    @holinhot 阴谋论不可取哈,实在有疑问可以 @阿里官方要求开源或者有能力分析下二进制文件。强行注入组件这点是跑不了的,感觉很不专业( ps 我也没看过 ecs 的用户协议
    opengps
        25
    opengps  
       2020-06-24 21:13:27 +08:00   ❤️ 2
    @holinhot 说个直白的回复(无意引战):你整个服务器都在待在人家地盘上了,还担心门干啥
    holinhot
        26
    holinhot  
    OP
       2020-06-24 21:17:21 +08:00
    @inwar 分析二进制文件意义不大,一般扫描和执行规则是由服务器下发的,也不可能写死在二进制文件里。虽然我不担心偷数据,但扫描和分析你文件、运行的软件、进程等等还是非常有可能的。至于这些数据有何作用?提供给当局吗
    billlee
        27
    billlee  
       2020-06-24 21:18:40 +08:00
    腾讯云的 agent 就可以选择不安装
    holinhot
        28
    holinhot  
    OP
       2020-06-24 21:18:44 +08:00
    @holinhot 你知道为什么 KTV 的点歌服务器。GA 也要来强行在你服务器上安装一个监控软件吗?
    holinhot
        29
    holinhot  
    OP
       2020-06-24 21:24:47 +08:00
    @holinhot 根据使用情况来看,例如的 html 文件存在一些当局认为不当的关键词,然后你的云服务器会被直接停掉,单从外部来实现这个功能几乎不可能做到。
    inwar
        30
    inwar  
       2020-06-24 21:25:27 +08:00 via Android
    @holinhot 其实存储都是在一块的(盘古?),想取未加密数据也跟插个 u 盘一样简单,当局要也是在法律框架内的(严肃脸)。门面上的规矩感觉还是要的,现在缺了点
    eason1874
        31
    eason1874  
       2020-06-24 21:41:24 +08:00
    我懒人观点,这玩意儿确实有用,可以扫描常见漏洞和监控主机资源使用情况和自动告警等等。

    我记得以前装的时候只要不勾上那个选项是不会安装这个玩意儿的,你确认一下是不是安装系统的时候不小心勾上了?
    holinhot
        32
    holinhot  
    OP
       2020-06-24 21:53:57 +08:00
    @inwar 直接读你硬盘,这个难度当然高多了,成本也高很多。要大规模监控就更难了
    lshero
        33
    lshero  
       2020-06-24 22:00:01 +08:00
    @holinhot 不想装 agent 找一些非主流的发行版试试看呗,html 关键词基本都是明文 http 协议直接被阻断的,至于特种行业的监控软件和 IDC 的信安系统一样只是一个产业罢了。
    mnssbe
        34
    mnssbe  
       2020-06-24 22:04:01 +08:00   ❤️ 13
    看看楼里的回复,人家那句“天朝人喜欢用隐私换取便利”是一点没说错。 很多人被 qj 出快感了, 坐上来,自己动
    holinhot
        35
    holinhot  
    OP
       2020-06-24 22:09:26 +08:00   ❤️ 1
    主要还是当局监管力度大,光靠举报和外部扫描,可能每天通报的问题任然非常多。于是从服务器内部扫描或许可以进步缓解监管压力。
    paopaotangdong
        36
    paopaotangdong  
       2020-06-24 22:15:11 +08:00 via Android
    看回答,大部分人简直计算机基础知识太弱了把
    wslwsl
        37
    wslwsl  
       2020-06-24 22:19:27 +08:00 via Android
    服务器安全那个框不点勾还有吗?说实话 azure 国际版也有类似功能,这个应该是云安全一个普遍选择,毕竟被攻击造成的损失也给服务商造成影响。
    holinhot
        38
    holinhot  
    OP
       2020-06-24 22:31:27 +08:00
    @wslwsl 就只有一个选项叫安全加强 我根本就没选这个啊。
    holinhot
        39
    holinhot  
    OP
       2020-06-24 22:33:40 +08:00
    研究 dd 一个系统,直接 dd 云镜像启动不了。
    wget -qO- https://mirror.rootnetworks.com/centos-cloud/7/CentOS-7-x86_64-GenericCloud-2003.raw.tar.gz | tar -xzO | dd of=/dev/vda

    dd 了一个 net-install 镜像启动也报错。视乎有 linode dd raw 磁盘没毛病
    dioxide
        40
    dioxide  
       2020-06-24 22:38:16 +08:00
    “XX 不是法外之地...” 所以...
    love
        41
    love  
       2020-06-24 22:53:48 +08:00 via Android
    搞笑,真要偷你数据还要起个进程给你看?
    nicevar
        42
    nicevar  
       2020-06-24 23:20:42 +08:00
    能不能把后门两个字搞清楚了再发帖,后门能光明正大摆在那让你看着,还能卸载?而且还提供卸载脚本
    Jirajine
        43
    Jirajine  
       2020-06-24 23:26:23 +08:00 via Android
    这个注入是怎么做到的,把 root 分区上 luks 加密试试?
    Ayahuasec
        44
    Ayahuasec  
       2020-06-24 23:28:02 +08:00
    我有个同学学生机 root 密码被人爆破出来了,然后阿里云马上发了邮件给他,提示异常登录,断网以后 vnc 登上去发现 last 命令真的有一个欧洲的 IP 成功登录了,之后他就改 RSA 登录并安装 fail2ban 了。
    对于初学者来说这个服务器监控或许真的有点用。如果真想窃取数据,阿里云有能力做热迁移,直接克隆一个硬盘看里面的东西不成了,何必搞得这么麻烦。
    如果想自己装个纯净版的,dd 不行的话,自己备份一下网络配置,用 netboot install,然后在 vnc 里重装,然后恢复网络就好了。
    FreeEx
        45
    FreeEx  
       2020-06-24 23:36:27 +08:00 via iPhone
    kvm 虚拟机是可以通过 libvirt 采集很多虚拟机内部文件进程等信息的。
    网络可以通过 ovs 的端口镜像直接获取到虚拟机网卡的所有数据。
    不需要你说的这种后门。
    mxalbert1996
        46
    mxalbert1996  
       2020-06-25 00:02:42 +08:00 via Android
    担心数据安全就不要用他家的云服务啊,你的数据本来就在别人家里,说的好像没有这个进程别人就获取不到你的数据一样。
    lewinlan
        47
    lewinlan  
       2020-06-25 00:14:07 +08:00 via Android
    六字真言
    zhchyu999
        48
    zhchyu999  
       2020-06-25 00:18:54 +08:00
    你们都不看云平台的监控么,不埋个点,那些监控的数据哪来
    holinhot
        49
    holinhot  
    OP
       2020-06-25 00:20:45 +08:00
    @nicevar 你是能卸载不过进程还是在
    also24
        50
    also24  
       2020-06-25 00:21:10 +08:00 via Android
    这事儿吧其实是这样:

    我不介意阿里云为小白用户提供保驾护航的功能。

    但是我应该有权力选择不使用这个功能吧?
    holinhot
        51
    holinhot  
    OP
       2020-06-25 00:23:16 +08:00
    @FreeEx 嗯,不过成本就另算了吧,在你机器里装个采集,用的是用户的成本。
    holinhot
        52
    holinhot  
    OP
       2020-06-25 00:23:58 +08:00
    @zhchyu999 aws 占时没看到这种类似的东西
    herozzm
        53
    herozzm  
       2020-06-25 00:24:41 +08:00
    安装的镜像的时候,貌似勾选了一个什么安全服务,不要勾选就没有了
    holinhot
        54
    holinhot  
    OP
       2020-06-25 00:28:07 +08:00
    @herozzm 然而还是存在, 可能只是关掉这些组件里的某几个功能而已
    holinhot
        55
    holinhot  
    OP
       2020-06-25 00:31:05 +08:00
    算了,不讨论了。对小白来说确实有些用,大家想想 360 为什么在中国可以活得很好,这个东西和 360 是一样的道理。那么为什么又有很多人讨厌和反对 360, 同时也有一大波人是 360 的拥护者。
    snw
        56
    snw  
       2020-06-25 01:02:41 +08:00 via Android   ❤️ 5
    1. 是的,技术上就是后门。上面说不是后门的人缺乏常识。

    2. 后门目的不一定用于做坏事,有时目的只是为了方便维护管理。当年灰#鸽子原本创造目的不是木马而是批量管理电脑,但因为实现了后门功能所以多被用于木马。

    3. 阿里云不勾选云安全只是不装部分功能,另一部分模块依然自带并运行。

    4. 你可以自己卸载删除或者自己重做系统。

    5. 上面说因为阿里无论如何都能监控所以不用开后门的人,也是扯淡。虽然阿里能分光网络或复制硬盘来看你的数据,但在客户端上开后门实现监控目的简单多了,而且是占用你的资源(#doge)。
    snw
        57
    snw  
       2020-06-25 01:24:15 +08:00 via Android
    6. 那个官方卸载脚本好像删不干净,你可以自己手动把所有名字带 Aegis/Yun/Ali 的文件删掉。
    freelancher
        58
    freelancher  
       2020-06-25 01:35:24 +08:00
    其实这个东西我碰到过。当年装个翻,跳墙软件就被发邮件警告了。分光器和后台虚拟机克隆一般是针对想拿数据的。小客户看不上。就给这个。看一下你的网站有没有违规的。

    想不忍受,就只能用脚投票了。就是这样。
    flynaj
        59
    flynaj  
       2020-06-25 01:38:47 +08:00 via Android
    要安全上 gcp,硬盘用自己的密匙加密。
    crab
        60
    crab  
       2020-06-25 02:25:20 +08:00
    @mnssbe 你这是骂楼主选择阿里云服务主动被 QJ 啊。
    jinwyp
        61
    jinwyp  
       2020-06-25 04:45:29 +08:00
    其他云有没有对比一下 不就行了?
    alphatoad
        62
    alphatoad  
       2020-06-25 06:16:10 +08:00 via iPhone
    你都已经自己给出答案了,别人的分析也不听,还来浪费大家的世界干嘛
    mytsing520
        63
    mytsing520  
       2020-06-25 06:18:39 +08:00
    根据官方介绍,aliyun-service 是阿里云 KVM 平台 ECS 虚拟机配置进程,是 qemu 的一个开源模块,主要负责 KVM 上面的虚拟机的初始化功能; Aegis 包括 AliYunDun 和 AliYunDunUpdate 两个进程,主要负责安全防御和安骑士升级更新
    slyang5
        64
    slyang5  
       2020-06-25 07:25:27 +08:00
    建议你不用云☺️
    CBS
        65
    CBS  
       2020-06-25 08:05:42 +08:00
    jjx
        66
    jjx  
       2020-06-25 08:12:13 +08:00
    阿里云还好了

    你可以选择不装

    聚石塔一定得装, 你不装就是安全不合格, 应用的资格有可能被停掉
    blless
        67
    blless  
       2020-06-25 08:15:01 +08:00 via Android   ❤️ 2
    我的建议是看看用户条款,还有严格来说云主机真的只是使用权…
    tril
        68
    tril  
       2020-06-25 10:20:50 +08:00
    这功能对初学者确实有用,不能删才是问题。网上的 aegis 和 aliyundun 卸载脚本我记得就是阿里云客服给的,这次也可以去问问客服看看有没有删除脚本(万一国内版不给还可以去国际版用英文问问看)
    baobao1270
        69
    baobao1270  
       2020-06-25 10:49:50 +08:00
    如果介意的话可以用 netinstall 重装系统,并用 dm-crypt 加密整个磁盘
    至少磁盘文件对阿里云不可见,只要你的服务器和任何一台其他计算机都使用 TLS 通信,那么阿里云就算拿到你的流量也无法解密
    对于一般民用而言,已经足够了
    baobao1270
        70
    baobao1270  
       2020-06-25 10:50:29 +08:00
    用 TLS 的时候注意前向安全( PFS )配置要正确
    MrUser
        71
    MrUser  
       2020-06-25 11:07:17 +08:00
    确实恶心,阿里云这算非法入侵了吧?
    Gathaly
        72
    Gathaly  
       2020-06-25 11:43:23 +08:00
    阿里云之前出了几次大型磐机又不是没试过
    所以个人主机扶墙用 cloudflare,传统企业内部应用自建机房(私有云),脱敏应用才放这种公有云

    而且阿里也不是第一次的了,记得钉钉的宣发就有,有阿里这样的大公司背书,你还会担心内部通讯泄露?
    mdzz
    enlight
        73
    enlight  
       2020-06-25 11:48:47 +08:00
    最好的方法就是不要用阿里云。百度云相对来说好一点,也有这种恶心的进程但是能很方便的禁用掉
    dbskcnc
        74
    dbskcnc  
       2020-06-25 12:04:33 +08:00
    竟然有这么多替 ali 洗地的,真是悲哀,除了法律的要求,用户是有权利不接受这些东西的,争取权利是应该受到尊重的,哪些随便把自己利益让人践踏的跟说被强奸也可以很爽有得一拼
    maokabc
        75
    maokabc  
       2020-06-25 12:39:48 +08:00 via Android
    反正不用,之前弄一个香港的搭梯子。一直被警告,后面就不敢用了。
    salmon5
        76
    salmon5  
       2020-06-25 13:20:17 +08:00 via Android
    你们难道不看用户协议吗?一帮在校学生吗?
    salmon5
        77
    salmon5  
       2020-06-25 13:21:05 +08:00 via Android
    你可以选择买服务器,找 idc 机房托管
    salmon5
        78
    salmon5  
       2020-06-25 13:30:59 +08:00 via Android
    你这个 centos 官方的 kvm 镜像什么都没有,云厂商不装个 agent 怎么初始化主机名 ip 等等,怎么检测主机存活状态?
    snw
        79
    snw  
       2020-06-25 13:42:03 +08:00 via Android
    @salmon5
    分配 IP:DHCP
    初始化主机名:不需要
    检测主机存活状态:这还需要装客户端??
    WebKit
        80
    WebKit  
       2020-06-25 13:47:15 +08:00 via Android
    直接自己 DD 新系统不就好了
    salmon5
        81
    salmon5  
       2020-06-25 13:52:50 +08:00 via Android
    @snw 虽然有 cloud-init,平台级的功能还是需要的
    Reficul
        82
    Reficul  
       2020-06-25 14:06:39 +08:00
    能创建机器后有重置密码功能的云服务,我觉得都不称不上安全。AWS 大法好
    wdlth
        83
    wdlth  
       2020-06-25 14:31:02 +08:00
    有个叫 libguestfs 的,可以用这个访问小鸡的文件系统,和用什么镜像无关。
    mmdsun
        84
    mmdsun  
       2020-06-25 15:07:12 +08:00 via Android
    安全模块 可以不勾选吧,我记得。
    Tigerw
        85
    Tigerw  
       2020-06-25 16:11:07 +08:00
    作为阿里云 5 年代理商的股东,这是阿里云的安全措施,给技术小白使用的,可以选择关闭。如果有技术问题或者优惠,可以加我们客服咨询下,15811397090
    Sunben
        86
    Sunben  
       2020-06-25 18:01:38 +08:00
    ruvds 主机商还是华为赞助的,坛友也发现后台也有个东东,想想就可怕。
    feelinglucky
        87
    feelinglucky  
       2020-06-25 18:07:47 +08:00
    @Tigerw @lived 广告
    wwbfred
        88
    wwbfred  
       2020-06-27 15:45:07 +08:00 via iPhone
    @singerll 这叫大炮打蚊子,监控普通用户根本用不到那些玩意……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2434 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 16:06 · PVG 00:06 · LAX 09:06 · JFK 12:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.