今天介绍一下另一起入侵事件,这次入侵事件的黑客技术水平明显要高于上次,作为这次入侵事件的发现者,感触颇多,由于已经离开该公司,避免对公司有什么影响,公司名用代号替代。
详细追查过程和相关敏感信息忽略。
B互联网公司,在出现该入侵事件几个月前,公司出现部分客户手机号被盗情况,后续将客户手机号做加密,但涉及面多,未完全做完,
历史原因,有部分系统用的PHP的Tars框架开发,各种原因Tars维护很困难,准备做一下迁移处理。这时架构师和运维,开启了Tars集群一台云主机的公网IP权限,开了几天,迁移处理完后,就关闭了,但就是这个看起来很简单的操作带来了巨大的后果。
研发一直在做库表迁移,把表从原有的一个库,分拆到其他实例上。当时做了一个SQL审计日志分析系统,具体见:
用ELK分析每天4亿多条腾讯云MySQL审计日志(1)--解决过程
这样就可以知道这表还有哪些账号调用,那些程序没有改,改了有没有改完等,方便研发快速做库表拆分。
发现异常:
1,昨天下午某研发小组组长根ELK汇总查询,反映有个账号还有读一个表,但查询程序已经改完,无账号读取该表,但查询ELK,的确还有查询。
2,早上10:30左右,查看每日慢SQL,发现某个账号查用户表,一共几百万+条用户数据,通过查询先前导入的ELK的SQL执行日志,
发现有账号在凌晨导数据。
3,早上,旁边的架构师说有台云主机发现有木马,要查杀。
领导重视:
结合这几天上面出现种种情况,再加上职业敏感性,我还特意和领导说了一下,有黑客入侵,旁边的同事还说,想多了,那有那么多入侵的事情。但有ELK这个工具的加持下,查询下来的确发现很大异常,而且不只一次入侵,领导终于重视,让我查数据库方面情况,另外一个架构师同事查云主机方面情况,汇报给公司。
查询结论:
1,数据很有针对性,特别针对有查询mobile字段的表。
2,特意查询了有encrypt的字段,感觉是避开加密信息。
3, 4天时间进行了3次入侵,有次还是从凌晨1点到持续到中午12点多,大白天工作时间也敢做,胆子比较大。
4,用了5个数据库账号来查询数据。
5, 4张包含手机号的敏感数据表被导出。
同事还特意登陆了国外的暗网,看是否有卖我公司资料的信息,结果没找到,可能发现的比较早,也可能他们没在暗网交易。
个人感触:
1,感觉黑客水平高,一直没想通云主机没有MySQL驱动,怎么连到我们的数据库
2,黑客怎么在那么短时间锁定我们的云主机,通过什么漏洞进来的,怎么把数据下载下去的。
感觉还是公司资料一直被盯上了,刚好有这个漏洞和误操作给了机会
3,公司后来进行一系列的安全改进,将手机号等敏感信息加密,招专门的安全人才负责信息安全方面。