阿里云安全中心体验报告

  1.  Home
  2. Text  
    3. Share to:

前言

前段时间在修复wordpress IP验证不当漏洞的时候,阿里云安全中心免费赠送了我7天的企业版试用期。当时就有点想砸键盘,非得等我修复好了才弹出来说送我。

话说回来,不要白不要。我当然是选择立即体验啊。平时也不会太去关注云安全中心,这下有企业版的可以体验,我就想看看付费于免费有啥区别的。

我被打了

试用期的第一天,可能我没见过那些一天攻击几千次的服务器吧,刚开通第一天,我就被攻击了37次。我就好气哦。我一个小小草根,没事打我干嘛???有个罗马尼亚的还有一个河南的变着法的轮流gank我。

20190727002750.png
QQ图片20190729233837.png

为什么受伤的总是wordpress

其实,通过这几天的安全中心生成的报告来看,被选择为进攻对象最多的是由Wordpress驱动的站点。被攻击的次数占有六成以上。有的是想通过代码注入,上传木马等方式下手,有一些更直接,直接想通过/wp-login.php进行暴力破解。连我这个博客,都试过这个。让我感觉就是那些黑客本身知道你的网站是有Wordpress驱动的那样,就算不是,也会去尝试看看是不是。

所以我就好奇,为什么会有类似本能的去认为就是Wordpress?

我认为wordpress本身就是全球最受欢迎的博客/内容管理系统之一,官网给出的数据也只是笼统的34%的互联网都在使用WordPress,小到兴趣博客,大到新闻网站。拥有的用户以及站点没法统计,数不过来。目标太大,而安全性更是因人而异。这样就很容易被黑客盯上。道理很浅显易懂,wordpress做大了肯定会被搞。所以,早在好几年前,Wordpress就被评为最受黑客关顾的网站系统。

受伤的还有数据库以及服务器本身

根据报表显示,有数据库被尝试攻击了17次。基本都是在猜我的phpMyAdmin的地址,直接了当的IP/phpmyadmin。并试着找出setup.php这个文件。这和Wordpress作为被攻击对象以及最常使用的手段一样。都是想通过setup.php进入程序安装。而一般的服务器如果有装phpmyadmin,基本就是这个地址了,再加上一般人都是安装好了就不会去管它。而黑客可能通过比较phpMyAdmin的安装包来找到setup.php的位置。所以最基本的操作就是,安装好后修改文件名,或者修改访问地址以及端口,再来就是不要安装phpmyadmin。

还有一个是SSH暴力破解。就是和破解Wifi密码那样,知道用户名后只剩下密码了,通过字典进行暴力破解。弱密码最容易被破解。降低被攻破的概率可以通过修改SSH通道的端口,修改root密码以及禁ping。当然这些攻击和防御还有更高级的操作,看能力。(像我这种弱鸡,被打了还不知道)

一串神秘的乱码

http://IP/w00tw00t.at.blackhats.romanian.anti-sec:)

这段乱码看起来乱,有感觉有点规律,试着是Google了一下,发现很多人和我一样遇到这种情况。

LowEndTalk看了看,这个攻击的大致就是在扫描漏洞,试图通过这种方式找出漏洞,进行下一步操作,但是又没扫出漏洞。

20190728234302.png

划重点:这里提到了罗马尼亚然后还顺带吃了个瓜

20190728234455.png

但是有一个网友把他的经历分享了出来。看来还是很危险的。

20190728234955.png

还有一个是在Stack Overflow看到的。

20190728235742.png

真是烦人,如果不是这个试用期,我怎么可能知道这么多??现在知道了,作为一个有强迫症的人心很闹好不好!百度了一下,有个很有趣的方案:做个gzip炸弹,打开指定链接的时候就炸
觉得这个可以,通过报表我也大概知道什么地址经常被扫描,抽时间试试效果

误操导致网站总目录无法上传文件

一开始也是这搞搞那搞搞,不小心开了网页防篡改,本意是防御,没想到上传什么都会被自动删掉。因为设定的目录是总的,所以服务器里的所有网站上传或者删除的文件都会被删除或还原回去。

20190729001139.png

机制太高级,导致这几天我写博客的时候,刚上传的图片,下一秒就没有了。我就很纳闷。图片、插件、文档什么的都是刚上传,过一会就会自动删除。一开始还以为是我CDN缓存那边出问题了,因为这几天也于去调试CDN,但是一想,就算是CDN配置出问题了,关我上传插件什么事?后来才想到可能是开了防篡改。不光是博客,以及家里的业务站,还有挂在服务器里的几个联系比较大的网站也受到影响。一脑补,就哆嗦。赶紧关了防篡改

总结

7天时间,也没有把阿里云安全中心企业版的功能都研究一遍。更大的原因是目前学习紧张,也不想花太多时间在这里。但从这几个特别明显的问题来看,维护好一个或者多个网站,难;维护好一台服务器更是难。而且更搞不懂的是为什么有人会这么闲,是在修炼还是什么?不过从另外的一方面来看,也应该感谢一下那些攻击我的人。不管我还是对方,这个过程都是一个学习的过程,对我来说,可能是提前接触了这些。一个积累经验的过程。

版权属于:Jockie

本文链接:https://cohesions.cn/Daily/experience-report-of-aliyun-security-center.html

本站所有原创文章由CC BY-NC-SA 3.0协议许可,转载时须注明出处及本声明

Last modification:July 29th, 2019 at 11:39 pm
© 允许规范转载
如果觉得我的文章对你有帮助,可以请我喝咖啡

3 comments

  1. Dxoac

    可怕
    Reply
    1. Jockie
      @Dxoac

      当初要是没有点那个立即体验,我也不会知道这么多。现在即使过期了我也知道天天有人在打我

      Reply
      1. Dxoac
        @Jockie

        摸摸头、。
        Reply

Leave a Comment

,