“当前已有100+用户参与分享,共计发放奖励60000+“
【前言】
前几天突然接到客户电话,说他们linux服务器被暴力破解了,服务器被人远程控制关机了,让我赶紧检查下AF上策略配置的有没有问题,还没等我远程上去,外网线就已经被客户拔了。既然没办法远程了,我就电话客户问下整个事情的详细经过,怎么判断服务器被暴力破解了,客户说是业务系统开发人员查看了系统日志发现的,于是我跟业务系统开发人员联系了下,从他们手中获取到了contos的系统日志。
日志从头看到尾,没看到被暴力破解成功登录的日志,于是电话系统开发人员,问他们是怎么判断被暴力破解成功的,他们的解释让我很无语,他们回答,日志里有很多不同用户名登录日志,服务器无故被关机,由此判断被人入侵,服务器被黑客控制关机。我。。。。讲话都不用负责吗?没有实质证据就敢信口开河。。。
部分contos日志截图:
日志显示183.101.241.118这个地址在不停地尝试登录服务器,但是都没有登录成功。
正常登录成功日志如下
可见系统并没有被暴力破解成功,在查日志的过程中,意外发现了一台内网问题主机,也在不停地对该业务系统进行暴力破解。
日志显示172.16.1.20在对服务器进行暴力破解截图
日志查完以后,跟用户解释了一下,并汇报了这台问题主机,客户稍微安心了一下,但是还是不放心,要求我们上门做一次安全加固。于是第二天我就上门了,接着发现了更大的意外。。。。
【上门处理过程】
客户业务系统之所以遭受到暴力破解,是因为系统开发工程师为了方便远程,把主机的22端口给映射给公网了,我给客户的第一个建议就是在出口设备上,把非业务端口关闭。在我的印象当中客户的出口设备是AD(之前帮客户远程过,曾打开过AD登录页面),但是在现场怎么也找不到AD设备,问客户也不知道有这个设备,他们说是防火墙直接连接着电信线路,我顺着线找了下,AF果真是直接连接电信猫的,难道我记错了???我心里起了一个大大的问号?
登进防火墙以后,发现了诡异的一幕。AF竟然是虚拟网线部署,出口设备哪里去了???AF上没有任何攻击显示(AF是有配置IPS,WAF,僵尸网络等功能),按理来说客户业务系统是提供给公网访问的,AF是上应该会后很多攻击信息,查日志,日志里近一个月都没有攻击日志,只在僵尸网络日志里发现了出口IP在访问恶意域名。
根据现场环境,初步得知网络拓扑如下:
内部用户通过专线访问业务,外部用户通过互联网访问业务。
近一个月,WAF日志为空(客户有买WAF模块)截图
近一个月,IPS日志为空截图
僵尸网络日志显示公网出口IP在访问恶意域名,这个日志很有意思。AF直接连接电信猫,虚拟网线部署,除了AF,现场没有找到别的路由设备,难道出口设备在超融合里?
僵尸网络日志截图
登录超融合,查看虚拟网络,AD果然部署在超融合中,网关模式部署。这种部署法有点大跌眼镜。
超融合里的逻辑拓扑,AD网关模式
完整的物理拓扑如下:
看到这个拓扑,我很不解。1.出口网关为什么不放在AF上,而是要放在超融合里面的AD上,难道要通过AD做出站负载?超融合上跑的都是服务器,不大用到出站负载,再说了外网线路只有一条,也没有必要做。2.这样部署法,对于AF来说trust区域就只有一个终端设备,出现问题难以溯源、定位原因;实时漏洞分析、应用控制策略等功能使用上存在问题。
为了解答我心中的疑惑,电话了下之前实施的工程师(该工程师已经离职)。得到的答案是,超融合里买了AD模块,客户要把买的东西都用起来,但是业务系统都只有一台,无法做服务器负载,所以这样部署了。。。我表示很无语。。。这样部署也就算了,AF防护策略里保护的对象是竟然是私有网段,而不是出口IP(内部服务器在AD上做了映射,对于AF来说后端的保护对象是出口公网IP),服务器相当于在裸奔,这也就解释了AF里为何看不到任何的攻击日志。
搞清了来龙去脉,我跟客户沟通了下,决定对网络架构进行整改,把出口网关移到AF上,使内网专线访问业务经过AF,这样AF可以同时防护来自外网和专线过来的威胁。这里解释下为何超融合和内网交换机之前还有连线,主要是因为超融合管理IP配置了内网的IP。
改造后网络拓扑如下:
确定好架构后,将AD原网关配置平移到AF上,对原AF(版本8.0.6)安全策略进行修改。 AF策略调整如下:
内网专线VPN区域与服务器trust区域双向放通,服务器trust区域与外网untrust区域单项放通,新增防勒索病毒应用控制策略,拒绝135、137-139、445、3389、22等危险端口
新增地域访问控制,只允许省内访问,可以过滤掉大部分攻击。
地域访问控制策略防护效果展示
新增外网对内网的DDOS防护,防止DOS攻击及IP、端口扫描
调整原安全防护策略区域,在原IPS、WAF、内网安全、僵尸网络等策略上;新增实时漏洞分析、网站防篡改、对高危行为进行联动封锁
EDR防护策略调整如下:
将服务器上被禁用的EDR客户端重新启用
新增EDR每天定时查杀功能
新增webshell定期检测,修改暴力破解、勒索防护、无文件攻击为自动处置
通过EDR对暴力破解的问题终端进行病毒查杀,EDR显示该主机中了挖矿病毒和木马,可以推断出该挖矿病毒通过对远程端口进行爆破的方式,来进行病毒的横向扩散。
【总结】
AF、EDR上都有暴力破解防护功能,由于AF策略配置错误,EDR被禁用,在此案例中都没有起到防护作用。一个合格的网络工程师应该对工作抱有敬畏之心、对客户认真负责。
从标准交付到价值交付,再到安全交付,我们交付给客户的不应该只是个铁盒子,我们要交付给客户的是可靠、安全的网络环境,设备的功能价值以及客户对我们的信任。
| 
发表于 2024-2-6 14:30
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
