不能说的云主机安全
近日,我创办的科技金融新媒体《极客网》遭遇了一场前所未有的重大安全事故:云主机中所有网站数据被黑客删除,并上传了几十万条垃圾信息!三年积累,险些毁于一旦!呜呼!
幸好有备份,我们快速恢复数据,在第二天的晚间,《极客网》恢复了所有数据,网站重新上线。然而,更糟糕的一幕发生了。不到两小时,数据再次被删得一干二净。嚣张的黑客还留下QQ,明目张胆地进行敲诈勒索!直气得我魂飞天外……
作为一家创业型新媒体公司,我们并没有专业的安全团队。遇到这种问题,只能四处求救。然而,懂安全的朋友,要么功力不够,要么工作太忙,无瑕顾及。无奈之下,只能自己动手。幸好,笔者混过两年华为,有些技术功底,于是,一场没有硝烟的战争就这样开始了!
漏洞在哪?
直觉告诉我,漏洞要么在程序,要么在主机。而程序层面的黑客攻击更容易,也更常见。于是,我决定先从网站程序上下手!
当前,市场上有很多公开、免费的木马、漏洞扫描工具。360、百度、腾讯等多家互联网巨头都有相应产品。其中,360是安全起家,让人感觉他的产品会更专业一些。于是,我用360的“webscan”来扫描网站程序。好消息是,扫描结果显示我的网站程序是“100分”,但遗憾的是,这是个错误的结果,360并没有帮我找出木马。看来,安全市场,不能崇拜“权威”!
就在我手足无措之时,一位在某安全公司供职的朋友,提供给我一个木马查杀脚本,是他手动编写的。据称,该脚本融合了最新的木马特征库,还能查出“加过壳”的变种木马。运行之后,果然有效!通过这个脚本,我们发现了30多个木马程序,这些程序威力非常大,它们不仅能够在服务器上建立、删除、生成文件,还能自我复制!更重要的是,这些木马能够躲过大部分主流杀毒软件的查杀!真是厉害!
接下来,清理木马,升级程序,封堵漏洞……一番折腾后,《极客网》终于重新上线!本以为,这回应该是万无一失了。然而,就在当天夜里。数据再次被删!抓狂!
为了找到问题根源,我删掉了所有程序文件,只保留静态网页,服务器禁止一切程序脚本运行。安装防火墙和监控软件……但网页文件还是被删。这时我终于意识到,黑客已经获取了我的云主机权限!
果然,我们在云主机系统中找到了黑客的镜像账户。
找到了病根,就好办了!删除镜像账户,重新规划所有用户和权限,更改密码,系统加固……一系列整改之后,《极客网》终于重新上线。
接下来的一周,我们的数据没有被删,读者终于可以正常访问《极客网》了。不过,好景不长,另一个令人缠手的安全问题又来了!
没完没了的CC攻击和DDos攻击
删不了数据,就来拒绝服务攻击(CC攻击和DDos攻击),黑客们也是满拼的!
不过,令我不解的是,作为一家本分的科技金融新媒体,我们没有得罪过什么黑客组织啊,到底是谁盯上我们了呢?一位在安全领域摸爬滚打多年的老朋友突然打电话来,告诉了我这一切的根源。
他说,我们网站的webshell(管理权限)在“黑市”上被卖了,而且叫价很高。估计是想劫持我们的流量,然后通过其它非法途径变现!当前,“黑市”上高质量科技新媒体网站很受欢迎,36kr,虎嗅,bianews等网站都有很多人在盯!
听了朋友的解说,顿觉毛骨悚然。创业本来就不易,还要每天面对黑客的攻击。不管我们是否愿意相信,当前,网络安全经已成为困扰互联网创业者的最大问题之一。
《极客网》最终还是没有抗过黑客的拒绝服务攻击,8月12日晚7点,网站宕机!我马上致电我们的云主机供应商(鹏博士旗下北京息壤),得到的回复是:我们的网站遭遇1.6G流量攻击,已经影响到所在IP网段其它云主机正常运行,我们的IP直接被机房屏蔽。
北京息壤技术回复的工单
1.6G攻击都抗不住?那以后不是要天天宕机?据笔者了解,在当前网络环境中,有组织的黑客攻击非常常见,流量攻击的体量动辄就是十几G,几十G!看到这里,大家也许会问:是黑客太厉害,还是云主机服务提供商不给力?
一位在IDC领域的创业朋友告诉我,北京机房的带宽资源非常紧张,最大硬抗也只有10G,能抗过5G流量攻击的已算中上水平。所以,北京机房的云主机应对流量攻击的惯用办法就是直接屏蔽IP。而《极客网》所用的云主机恰在北京,在遇到1.6G流量攻击的情况下被屏蔽IP,是再平常不过的事了。哎!看来,换云主机已是必然!
在朋友帮助下,《极客网》搬到了新的机房,据服务商介绍,现在《极客网》所在的机房是高防机房,最高能够抵抗320G的流量攻击。截目笔者发稿,CC攻击和DDos攻击还偶尔会有,但《极客网》新主机一切正常!
被蒙上眼睛的云主机用户
经过数年发展,中国云主机市场已相对成熟,越来越多的用户开始选择云主机。市场中也涌现出一大批云主机供应商,其中不乏阿里、腾讯这样的互联网巨头。这些巨头的加入,不仅大大提高了云主机行业的整体服务水平,也让“云”这种全新的产品形式快速地被大众接受。
然而,正是这些强势财团的加入,让云主机市场变得越来越不透明。他们强大的公关能力,遮住了用户的又眼。用户通过媒体看到的全部都是云主机的好处,而不好的地方、安全风险都被过滤掉了。笔者在解决这次安全事故的过程中,就发现不少与云主机有关的潜在的隐患和安全风险。而这些东西,普通用户很难发现!比如,笔者近日撰写的一篇博文,由于涉及国内某知名云主机供应商的安全问题,上线几个小时后突然被强制下线(不多说,你懂的)!
不过,我想说的是,互联网强调分享,在社交网(媒)络(体)如此发达的今天,没有什么信息可以被彻底封锁。云主机服务提供商要想被更多用户认可、喜爱,最该做的事,应是直面各种问题,做出更好、更可靠、更安全的产品。
接下来,笔者将撰写一系统云主机相关文章,竭尽所能,帮助大家甄选出适合自己业务发展的云主机产品。大家可以持续关注《极客网》云主机频道或我的专栏!(完)
作者:李海刚:lihaigang_com