阿里云控制台天天提示有攻击

[云计算] 季雨林 2018/7/3 8:29:02

        想必很多人用了ecs,开放了80/443端口放置网站之后,都会发现这个问题。于是很多人骂:是不是阿里云这是在向我推荐购买他家安全产品?答案:是。但是只考虑是,就不够理性了,因为忽略了一些非常现实的基本问题。


        公网环境本来就是很恶劣的,举例:

        1,早在互联网初期,就已经有技术牛人(约等于黑客)为了获取某些资源,制作出扫描类软件工具。然后遍历扫描公网ip

        2,云计算时代,服务器ip的网段相对于传统idc往往更加集中。这种特点更加利于扫描器的工作。见附图3,就是本站被扫描的路径,很显然这是自动化扫描工具,因为本站是基于.net编写,路径最后往往是 .aspx 不会出现 .php ,但是扫描器显然已经内置好了某些规则。控制台的攻击提示,正是基于这些“攻击路径”统计而来。

        借此多说一句,公网服务器,对外只开启不得不用的端口,例如发布网站使用了80,443。但是远程管理端口只有自己人用,完全可以修改掉,不用22或者3389,改成一个随机性自己能记住的端口,例如12321。

        3,比特币流行起来之后,很多肉鸡都沦为矿机,很多扫描器都基于这样一个利益目的,自动扫描,扫到之后自动爆破,然后甚至能自动植入挖矿脚本,自动运行。整个过程都是自动。

        4,服务器上的数据往往价值较高,因此,近年来诞生了大量的“加密勒索病毒”,黑客取得服务器的控制权后,偷偷地开始加密,然后勒索钱财。由于网络技术的隐匿性特点较高,所以往往采用比特币进行支付。

        5,行业恶意竞争,这个情况现在少见了,因为很多人已经开始意识到云架构的特点,将数据库放在后台,不再对公网开放端口。迫不得已需要对公网开放的时候,也知道使用白名单,改端口,强密码等手段应付了。但是依然存在很多不合理使用的情况,因此,很多不重视技术的公司,往往面临数据库被竞争对手恶意爆破偷取商业数据的情况。       


        阿里云控制台提示有攻击时候应该怎么做?

        首先,排查。

        就是逐个过滤下,自己是否存在攻击路径提示的文件,如果有,那么就需要顺着路径查看下自己是否存在这类漏洞。从本文图中可见,php由于其框架的便捷性,被大量使用,因此好多攻击都是框架级别的漏洞,这种漏洞,更利于黑客归纳漏洞特点,遍历扫描寻找肉鸡。

        其次,购买安全工具。

        对于企业级用户,有必要用好这个安全工具,也真正式阿里云的目的:购买WAF(web应用防火墙),个人用户省点就省点吧,看看有没有漏洞,泄漏点数据往往无没感觉。但是企业用户,除了要排查漏洞之外,很有必要使用好这类防御工具,及时知道威胁情况。顺便安利一波,购买阿里云产品欢迎领取代金券备用:2bit.cn/q 。发现问题及时,才能避免更大灾难的诞生!!

        其他层面安全。

        有必要自行搭配其他安全工具,安全是个全线路话题,不能锁了大门开了窗户!!这里要说的就很多了,本文仅提示几个工具:安全狗,安全组,防火墙,强密码管理方案等等。


        如图,本站使用的就是阿里云1核2G1M配置的ECS发布。控制台天天提示有攻击,几乎很难见到某一天0攻击:


原文地址: https://www.opengps.cn/Blog/View.aspx?id=133 文章的更新编辑依此链接为准。欢迎关注源站原创文章!
文末推荐: 阿里云代金券礼包,感谢领取支持本文!!

暂不开启留言板块

鲁ICP备14008001号-2