随着公有云技术的蓬勃发展,在今天,我们越来越多地使用公有云。从企业应用,到个人远距办公都会使用到公有云技术。比如笔者就在安卓和苹果手机上安装微软远程桌面,配合放在口袋里的蓝牙鼠标,随时随地操作云端的高性能服务器,完成不需要输入过多文字的日常工作。但随着我们与公有云接触越来越密切,如果设置不当,公有云的安全问题就会变得越来越严重。
上周,一个同时使用Oracle OCI和国内友商公有云的客户向我们发来帮助请求。这是一家跨国公司,在世界多个国家都有分公司。在海外,该公司使用Oracle公有云OCI作为云端基础架构,在Oracle OCI上运行着数十台Linux系统主机和Windows Server系统主机。并通过网络与位于中国大陆的其他友商提供的公有云上的Linux主机进行数据交互。上周该客户发现,位于海外的多个Oracle服务器无法访问位于国内其他友商公有云中的多台Linux服务器,起初怀疑是Oracle的OCI或者国际网络出现问题,接到用户的请求之后,我们立即联合我司的云端专家团队协助客户对Oracle OCI上的主机进行检查,同时我们也测试Oracle公有云到国内公有云服务商的网络状况,发现一切正常。我们怀疑是国内的友商提供的Linux服务器出现故障。于是协助客户进行排查。
故障排查
通过top命令查询,发现该主机的CPU资源已经被xmrig进程耗尽。
在网络上查询,发现这是一个所罗门币的挖矿程序。通过find -name xmrig找到/root/c3pool/xmrig.sh,将这个文件删除,并终止这个进程,CPU终于恢复平静。
通过观察,可以看出已经被删除的文件,应该是挖矿的主文件,剩下的4个文件其中两个json是内容大致相同的配置文件,xmrig.log是日志文件。
我们打开config.json文件发现如下代码片段:
在上面的代码中,被隐去的两部分是植入挖矿程序的入侵者的用户名以及登录这个矿池所使用的口令。而www.sosoeazy.xyz:80可能就矿池地址。但我觉得入侵者应该不会直接将矿池地址写在配置文件当中,结合网上查询出来的结果和那个叫做c3pool的奇怪路径,想必大家自己应该已经有了判断。为了确保系统安全,我们全面扫描了该系统,并检查了crontab,确保没有恶意程序残留。
入侵原因
那么问题来了,这个程序是怎么被安装到这台国内友商的Linux机器上的呢?
我们通过查询操作系统日志发现如下命令:
这个入侵者使用root用户登录之后,首先看了一下机器的配置情况,然后下载了一个sh脚本,为了防止大家出于好奇去下载这个恶意脚本,我将脚本的地址隐去。
通过对该国内友商主机的检查发现如下问题:
1、使用用户名及口令方式登陆了,而非秘钥登录。
2、配置该机器时,为了一时方便,将该机器的防火墙关闭。
3、selinux被设定为disabled状态
4、估计在云服务商的console中,没有进行相关的安全设定。
可能是root的口令强度不够,并且没有开启防火墙,于是被非法入侵。我们建议客户开启Linux的防火墙,并只开放必要的端口。如果云服务商提供云端的安全设定,也要进行相关的安全加固。如果该服务商没有提供安全加固,建议将该主机迁移到Oracle OCI。
为什么Oracle OCI没有受到同样的攻击?
该客户同时使用多台运行在Oracle OCI上的Linux主机和Windows主机,通过检查,这些主机都没受到入侵。是Oracle的主机比较幸运?也许吧。但可能是已经被扫描过,Oracle OCI利用多重防护机制,已经将外界入侵成功拦截。
以这个客户为例,因为该客户访问Oracle OCI使用的是企业的互联网,而该企业使用固定IP。
1、我们在为客户做部署时,已经获取客户能够访问Oracle OCI的IP地址段。通过安全列表,只允许特定IP段的用户访问OCI上运行的主机。
2、通过上面的图,大家也可以看到,在安全列表当中,我们只开放被使用到的端口。
3、使用秘钥方式登录Oracle OCI上的Linux环境,而不是使用用户名和口令。
4、针对Oracle OCI上的Linux环境,开启防火墙和selinux,并只开放被使用到的特定端口。
5、针对Oracle OCI上的Windows环境,也可以使用安全列表,规定特定的IP地址才能访问该系统。针对动态IP的用户,可以通过虚拟专用网技术来解决。比如我们上文提到的这个客户,针对他们的Home office员工,客户自己架设了虚拟专用网服务器,并将虚拟专用网服务器的地址加入到安全列表当中。这样一来,即便入侵者知道Windows服务器的地址、用户名和口令,只要不通过虚拟专用网,或不在企业内部,就无法访问到该主机。
Oracle有大量的网络安全专家和系统安全专家,在客户使用Oracle OCI时,我们都会为大家提供专业的安全建议。同时,在Oracle OCI,我们有Oracle Cloud Advisor、Data Safe等云端安全工具来保障您的云端资产安全。
编辑:殷海英
