互联网金融大战黑客
在互聯網行業里,如果你們的系統還沒有被黑客們練過,說明你們的系統還不夠成熟。
在以往的工作經歷中,大都做后端服務,較少經受到黑客們的光顧。但是自從2014年進入互聯網金融行業之后,和黑客們打交道已經成了我們日常工作的一部分。2015年應該是互聯網金融行業受黑客攻擊最多的一年,各互金公司都深受其害,其中網貸之家有一段時間被黑客攻擊的太厲害,連續幾天網站都無法打開。部分互金公司選擇了出錢消災,讓極客們嘗到了甜頭,吸引了更多的黑客們躍躍欲試。
當然了我們也未能幸免,什么DDOS攻擊、SQL注入、尋找系統漏洞等幾乎都被經歷過了,有的黑客還比較好,應該是出于善意或者展示自己,將漏洞放到烏云上面或者漏洞盒子里面讓廠商來修復。但更多的是一些黑產完全就是威脅、敲詐想撈一筆錢。
先看看下面這位吧:
這個家伙潛伏到我們公司的客戶群里面,冒充我們的客戶代表將頭像和資料替換成一樣,然后給群里所有的客服發送信息,想讓客服把公司內部的后臺地址發給他,想通過這種方式來尋找突破口,當然了這個算是里面的小菜鳥吧。
DDOS攻擊
DDOS攻擊我們也是遇到了很多次,確實也沒有比較好辦法,最后都是通過一些笨辦法來盡量的避免,先說說我們的經歷吧。有一次我正在敲代碼,客服QQ又閃爍了起來,還沒來得及打開查看信息,客服經理電話就直接打了過來,立刻就有了一種不祥的預感,說官網打不開了,后臺也登錄不了。
掛了電話,我在本機進行了測試果然不行,立刻準備登錄VPN查看服務器各項指標,結果登錄不上去,馬上上樓找運維經理,他也登錄不上,剛準備給機房打電話的時候,機房來電話了,說我們的一個IP正經歷著1G多的流量訪問,問我們是否正在做什么活動,剛話沒有說完就說流量已經到5G,不到一分鐘之后流量已經到達18G之多。因為我們的機房和集團共用了一個寬帶入口,結果陸續的集團上面反饋他們的網站、服務也都出現了問題,機房服務商害怕引起更大的沖擊,直接把我們官網對外的IP封掉,集團的其它業務才慢慢都恢復了過來,我們也緊急的更換了外網IP,重新切換了域名解析才恢復。
事后我們根據apache分析了日志,流量來自N多個不同的IP地址根本無法應對,因為這次攻擊讓領導們重視了起來,才將公司機房的網絡和公司集團徹底分離,這樣的話不管那方受到大流量攻擊都不會相互影響,我們也想了一些笨辦法,因為上次我們更換了外網IP之后攻擊也就停止了,那么我們認為肯定是針對我們外網來攻擊的,所有我們就多準備了6個外網IP,當監控到對某一個外網進行攻擊的時候馬上切換到另一個外網地址,就這樣跟他們玩,可以起到非常有限的一點作用,如果黑客真的想跟我們玩,這個辦法就像是小孩子捉迷藏。
周年慶的DDOS攻擊
還有一次我們正在做周年慶活動,突然有人在QQ群里面給我們客服說了一句,叫你們的技術負責人來找我,然后我們的網站就掛了,我還保留了當時的一個截圖如下:
完了之后客服就來找我,然后按照往常的策略處理完之后,我根據客服給我的QQ號碼加上了那個人,開口就來嚇我,我依稀記當年的對話如下:
黑客:你是平臺的技術負責人嗎?
我:算是吧
黑客:你信不信我可以讓你們官網在5秒之內掛掉?
我:...(沉默,還真害怕又把官網搞掛了)
黑客:你們的官網漏洞很大
我:如果有好的建議請您賜教
黑客:你們的服務器是不是什么防護軟件都沒有裝?
我:...(繼續沉默,這會在想不會是那個安全廠商來推廣產品的吧,當然我們基礎的防護肯定有)
黑客:我們有非常多的肉雞,想攻擊誰,幾秒之內肯定搞定
我:...
黑客:我們已經給很多互聯網金融行業做了滲透測試,花點錢幫買你們平安,保證以后不會在出事情
我:...
黑客:免費的策略也有很多,比如360、百度云的安全產品可以免費低檔10G左右的流量
......(中間省略)
黑客:我說了這多,你們也是不是給包煙錢,表示表示。
......
后來也和領導進行了商議,堅決不能給他們錢,不能助漲這種囂張氣焰,實在不行就報警!
曝光一下當年使用的假QQ號,剛查了下變了個頭像和描述,如下:
后來我一直在想為什么DDOS攻擊總是喜歡根據外網IP來攻擊呢,慢慢好像是理解了。如果針對域名來攻擊的話,那不就是攻擊到域名商的服務器,一般域名商比較強大,黑客不太搞的定,也確實沒有必要。當然記的前一段時間,某著名域名服務商被攻擊,導致國外twitter等著名的互聯網公司訪問中斷到達半天以上,還是很嚴重的。但是對于我們這些小公司,倒不至于搞這么大的動作。
到底如何正確的防止DDOS攻擊:
第一種方案,隱藏服務器外網地址,服務器前端加CDN中轉,免費的有百度云加速、360網站衛士、加速樂、安全寶等,如果資金充裕的話,可以購買高防的盾機,用于隱藏服務器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。
第二種方案,買一些安全產品來進行流量清洗,主要是阿里云、騰訊云這種大廠商提供的一種服務。
第三種方案,有很多的防火墻產品聲稱可以防止Ddos攻擊,但是我個人使用感覺效果非常有限。
SQL注入
我們的官網使用的是PHP開發,因為框架比較老舊的原因,存在著一些SQL注入的點,我們發現了一些進行了修補,沒想到還是被一些黑客找到了突破點,這塊還是比較感謝一些黑客在漏洞盒子上面提交的bug(如下圖),最后我們根據提示進行了緊急修復,后來也在WAF防火墻配置了一些攔截SQL注入的策略,起到雙保險的作用。
我一直在想為什么PHP一般比較容易出現SQL注入呢,而Java較少暴漏出來SQL漏洞的情況,我估摸著有兩方面的原因:第一,PHP一般前端使用較多,受攻擊的機會更多一些,Java一般做為后端服務攻擊的可能性會比較少;第二,PHP框架較多而且很雜,很多早期的框架并沒有特別考慮SQL注入的情況,Java大量普及了mybaits\hibernate這種orm框架,框架本身對常見的SQL注入有防范的功能,但不是說mybaits/hibernate框架就沒有被sql注入的可能,大部分場景下是OK的。另外參數化查詢可以有效的避免SQL注入。
通過一段時間的學習,我發黑客一般先使用工具對網站做整體的掃描類似Acunetix,在根據掃描出來的漏洞做個大概的分析,但是比較深入的漏洞都需要根據網站的業務在進行調整,比如sql注入會根據頁面的查詢使用sqlmap等工具來進一步的滲透。當然我對這方面還是外行,描述的可能不夠清晰。
短信攻擊
驗證碼漏洞,我們當初有一個很小的失誤,有一個程序員在H5的小網頁中將發送短信驗證碼返回了前端,最后被haker發現了,利用這個漏洞可以給任意的用戶重置登錄密碼。那一晚上我們幾百多個用戶收到了密碼重置的短信,雖然黑客最終也沒有改用戶的密碼,只是發短信玩了一把,但是對于平臺來講無形的價值(信譽度)損失不小。
短信攻擊,現在的網站幾乎都有發送短信或者短信驗證碼的功能,如果前端不做校驗,haker會隨便寫一個for循環來發短信,一般系統的短信會進行全方位的防控,比如:1、前端加驗證(字符驗證碼,有的是拖拽的動畫);2、后端根據用戶或者IP加限制,比如用戶一分鐘只可以發送一條短信,忘記密碼的短信一天只能發送10條、一個IP地址限制每天只能發送100條短信等。
如何防范
黑客攻擊公司的網站未必完全是一件壞事,一方面說明了公司已經吸引到了很多人的關注,另一方對我們技術團隊是一次檢驗,黑客有時候會給你帶來完全不同的一種思路想法。但是被黑客攻擊而影響了業務,那就不是一件愉快的事情了,如果攻擊導致頻繁的出現問題,對內對外都會造成大的影響,那就是嚴重的事件了。
安全防范是一個全面且持久的工程,也是需要在硬件和軟件上都要投入的一件事情。
硬件方面
需要做好網絡安全規劃,機房常用的安全設備有:VPN服務器、防火墻、WAF防火墻。
- VPN服務器:主要用于運維人員通過口令可以登錄到機房內網中進行日常運維工作,也可以用做不同機房網絡互通,保證在特定的網絡下信息傳輸安全。
- 防火墻 :外網訪問進入機房的第一道大門,負責三層網絡的安全檢測,隔離內網和外網環境,外網為非信任區,內網為信任區。
- WAF防火墻:最重要的安全設備之一,WAF防火墻主要是對Web特有入侵方式的加強防護,如DDOS防護、SQL注入、XML注入、XSS等。屬于應用層的安全防護,我們經常遇到的黑客攻擊行為,主要就靠它的防護能力。
現在的防火墻技術更新特別快,以前的防火墻都是基于特征庫來進行防護的,最新一代的防火墻可以根據平臺的用戶行為來檢測分析是否為攻擊行為。
軟件方面
軟件方面的防護主要有兩方面,一方面使用證書保證傳輸層的數據安全,另一方面所有對外的接口都需要做好安全規劃。
HTTPS證書:在web服務器部署HTTPS證書,保證用戶在交互的過程中數據沒有被串改。
網絡規劃:所有非必須的服務都不要開放外網訪問,需要開放外網訪問的服務器僅開放需要的端口,比如常用的80。和合作公司有數據交互或者接口調用的需求,需要綁定固定的外網訪問地址。
技術選擇:選擇成熟的框架可以避免很多安全問題,早期的很多PHP框架根本就沒有考慮SQL注入的相關問題,當初strust2的安全漏洞多少企業被坑。選擇成熟穩定的技術體系可以避免很多低級的問題。
作者:純潔的微笑
出處:www.ityouknow.com/
版權歸作者所有,轉載請注明出處
總結
- 上一篇: 学完python可以当黑客吗_想当黑客吗
- 下一篇: 集合练习题1