奇虎360高级安全研究员李福：别让黑客毁掉运维

GitHub 运维脚本,邮箱是否可以连通,使用了自己的账号和密码.比较配合地将内容上传到 GitHub,黑客用关键字搜索这家公司域名的时候,发现运维脚本,然后登录了统一认证系统,统一认证系统说手机二次验证,因为没有手机号.

攻击者通过邮箱的密码给了邮件,说我的手机号码换了,确认一下身份,我是某某,手机号换多少.手机号修改成攻击者自己的,经过了二次验证.

在内网核心的攻击是代码支持库,核心代码的 SVN 与 GitHub.后台系统在管理人员看来已经为所欲为.

3、运维躺过的那些坑

3.1 基础服务上的安全风险

基础服务的安全风险无非就是弱口令、未授权、配置不当.上图列的是代码备份的访问,连上去可以下代码和操作的.

通过未授权可以获得服务器的选项,因为可以执行系统命令.

3.2 如何去改进

• 访问控制访问控制,办公网和测试网与生态环境要进行隔离.不能说现场服务器修改代码备份,我把测试服务器当现场服务器用.

  这里有一个典型的例子,有黑客对网站进行攻击的时候,发现测试系统存在弱口令,原因是因为测试环境和生产环境混在一起了导致存在弱口令,这样的问题很容易出现.

  （编辑：东莞站长网）

  【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!